2016年02月01日 16:52 7342
近期,阿裡移動安全團隊發現大批量色情類病毒重新開始在某些論壇或者應用市場上泛濫。和以往的色情類病毒不同的是,它們使用了更多進階的技術手段來對抗安全軟體的清除。這類病毒具有以下特點:
1、使用了代碼加強技術,把惡意代碼加密,運作後再從記憶體中解密出來;
2、安裝後僞裝成系統元件,同時将自身安裝隐藏在系統目錄下,防止解除安裝的同時也躲避了部分安全軟體的清除;
3、通過雲端伺服器配置不斷建立虛假快捷方式、彈對話框、僞造通知欄等方式,強制推送安裝其它惡意軟體。
由于這類病毒通常使用美女圖檔作為應用市場上展示的圖示,同時使用一些具有誘惑性的詞語作為應用名稱,沒有經驗的使用者極易上當受騙,是以我們将其命名為“魅影殺手”。
圖:“魅影殺手”使用的圖示和名稱
截至10月底,國内有85.3萬台裝置感染了“魅影殺手”病毒。其中,感染最為嚴重的省份是廣東、浙江和江蘇。廣東省平均45台裝置中就有1台安裝了該病毒。
圖:“魅影殺手”病毒感染使用者量趨勢
圖:“魅影殺手”的感染使用者的區域分布
為了進一步了解“魅影殺手”的演變過程,我們分析了該病毒家族在不同時期的樣本。以下從與安全軟體的對抗、惡意行為兩個角度對該“魅影殺手”病毒的特點做了總結:
1、與安全軟體對抗
a、代碼加強
android加強技術的引入,确實在一定程度上解決了代碼安全性的問題,但同時也給各種病毒木馬提供了極佳的隐藏手段。我們發現大量的“魅影殺手”樣本使用了加強技術隐藏自身,試圖躲避防毒軟體清除。從早期的dex可執行代碼整體加密存放到assets目錄,演變到java層代碼深度混淆解殼代碼,再到目前在native層動态加載加密的惡意代碼,說明病毒開發者也在費盡心思增加安全公司的逆向分析成本。
圖:惡意代碼加強技術演變
圖:native層通過dexclassloader加載加密的惡意代碼
同時該種加強存在大量變種,每隔一段時間将會修改so名和對應加密的jar名,native層裡的initkey也會改變。
b、防止解除安裝
為了長期駐留在使用者的手機内,這類病毒樣本還會通過僞裝成系統元件、激活裝置管理權限以及把自身拷貝到系統目錄等方式,使得使用者或者安全軟體無法通過正常方式解除安裝。
圖:激活裝置管理權限
2、惡意行為
a、訂購收費服務
“魅影殺手”病毒通常利用“私密快播”、“情澀視訊”、“愛美熱播”等帶一些誘惑性的名稱吸引使用者點選,而在于其内置的付費子產品,會在背景暗中扣取使用者的話費,或者直接消耗流量,産生流量費。下圖對一般的危害性做了統計。從圖裡看出,對使用者危害最大的,是惡意扣費!!!
圖:色情應用危害
色情類應用大多包涵多個支付子產品,各個子產品之間互相聯系,經過分析發現,某些第三方提供的支付sdk存在短信攔截的行為,也就是說,當使用者點選了付費之後,并不會收到扣費的确認短信(二次确認)。原因是因為該短信已經被攔截,下圖是某個支付子產品中的代碼
圖:攔截短信
部分色情應用甚至私自發送扣費短信
圖:啟動後靜默發送扣費短信
b、隐私竊取
分析過程中發現,部分惡意開發者将惡意代碼包裝入色情應用。惡意行為包括監控短信彩信的接收、讀取短信箱内容,上傳使用者手機短信和聯系人清單到黑客指定的郵件中。當黑客拿到這些資訊之後,就可以進行資訊販賣,詐騙等。下圖是分析人員拿到的某黑客的郵箱。
圖:搜集使用者資訊
圖:讀取使用者短信箱的資訊
c、強制推送并安裝其它惡意軟體
對一名叫”私密快播”分析。首先監控系統啟動,随後啟動requesttask任務,以“發現您系統中缺少高清播放元件:1、突破防火牆限制,多種限制級大片供欣賞;2、快播專用通道已開通;3、更多精彩内容午夜開放,盡請期待!”誘騙使用者下載下傳安裝,安裝之後在背景不斷瘋狂下載下傳惡意推送應用,并建立虛拟桌面誘導使用者安裝,消耗手機流量,非法推送惡意廣告等等。
圖:下載下傳伺服器位址
對上圖中下載下傳連結通路
“durl”字段值是下載下傳者連結,”title”,”desc”字段unicode編碼,解密之後,對應下圖彈出的對話框文章。
圖:誘導安裝
對下載下傳者應用,對上勾手機強行推送,整個過程包括檢視使用者下載下傳了哪些應用,有哪些安裝運作,哪些沒有安裝運作,并不斷建立虛假快捷方式、彈對話框、僞造通知欄等方式引誘使用者點選安裝,最終導緻手機中安裝了大量惡意軟體。服務端就是通過這種方式,知道使用者安裝運作了哪些應用,對成功推送的擷取利用。
圖:強制提醒安裝下載下傳的應用
圖:請求伺服器下載下傳惡意應用
由于該類色情類開發和制作流程簡單,推廣成本低,并且市場空間巨大,能夠在短時間内産生經濟效益,是以吸引了大批不法分子參與其中進行利益分成,并且逐漸形成了一條完善的黑色産業鍊。色情的開發者通過極低的推廣費用,把樣本上傳到某些網絡推廣平台,例如小衆的android市場、應用推廣平台、色情網站、部分遊戲或者遊戲外挂網站等。由于這類色情本身的誘騙特性,容易激發使用者的好奇心下載下傳安裝。一旦成功安裝到使用者手機上,它們會在背景偷偷訂購一些移動營運商的收費服務,同時向使用者手機推送更多惡意推廣軟體,這樣黑産一方面參與電信收費項目的提成,另一方面還獲得了更多的廣告流量分成。
以下是“魅影殺手”病毒的黑産利益鍊條:
圖:“魅影殺手”病毒的黑産利益鍊條
由于目前國内不少的應用市場逐漸加強了代碼安全稽核,為了避免檢測出惡意代碼後應用被下架,有專業的黑産加強團隊對惡意代碼進行加密隐藏後再釋出到應用市場。通過對樣本管道進行分析,我們發現,為了避免身份洩露,有些病毒開發者甚至将木馬存儲到自己的伺服器上,并申請了一系列域名用于提供下載下傳服務。
總結:“魅影殺手”病毒的黑産利益鍊條:惡意apk->借助推廣管道->色情網站或色情app->引誘下載下傳->廣告聯盟->惡意扣費。
阿裡移動安全提醒大家,為了避免中毒,我們建議大家盡量從官方網站或者可信任的android應用市場下載下傳手機應用,盡量不要安裝來曆不明的應用,尤其是帶有誘惑性字眼的應用更需謹慎。如果不确定手機是否中毒,可以安裝阿裡錢盾等手機安全軟體,對手機上的應用進行檢測,防止高風險惡意應用的安裝。
本文來自合作夥伴“阿裡聚安全”.