2015年09月11日 15:50 7389
<b>一, </b><b>事件起因</b>
根據德國安全廠商gdata放出的2015年q2移動惡意病毒報告 [1]中指出:市場上至少有26款的android手機在賣給消費者時藏有惡意程式,受害的不乏知名品牌,包括小米3(xiaomi mi3)、華為的huawei g510、聯想的lenovo s860、android p8、concorde smartphone6500、中國的阿爾卑斯(alps)等,這些手機品牌主要銷售地區在亞洲和歐洲。據介紹,這類間諜軟體主要僞裝在facebook和谷歌等流行的安卓應用程式驅動中。使用者手機在沒有解鎖的情況下,是無法删除這些應用的。
圖1 受影響的手機型号
<b>二, </b><b>病毒樣本分析</b>
在發生此次事件後,我們第一時間聯系了gdata公司,并拿到了預裝在手機中的惡意病毒樣本進行分析。
樣本一: 臉書武器刀 (facebookkatana)
包名:com.facebook.katana
md5: 334f0a9811034dd226289aa84d202e60
sha1: ac8d71fc4ec99b3cb9d758451048fc3d44dda62e
這個樣本對facebook 1.8.4版本的apk進行了重打包。在facebook的apk中加入了“com.facebook.tuubo”這個惡意廣告包。
圖2臉書武器刀的界面
圖3臉書武器刀的惡意廣告包
同時這個病毒樣本在原本應用的權限上又申請了大量的高危權限。
圖4臉書武器刀額外申請的權限
這個病毒樣本的行為如下:
* 連接配接 s.fsptogo.com 和 s.kavgo.com 伺服器擷取指令
* 靜默下載下傳和安裝
* 擷取機器udid
* 浏覽器曆史記錄
* 擷取logcat調試資訊
通過分析apk的開發者證書我們發現,該的開發者屬于elink公司,這個公司号稱是開發mtk平闆電腦的,不過公司的首頁做的非常不專業,感覺隻是為了用來僞裝。
圖5 elink公司首頁
樣本二:僞推特下載下傳器 (faketwitter.downloader)
包名:com.twiter.android (注意:比正常應用com.twitter.android少了一個t)
md5: e82ac31cb3771e07c572d526f075bbf4
sha1: 808dabf5969f76a130901f20091abe85a30f6387
這個病毒樣本對twitter的apk進行了重打包。在twitter的apk中加入了“com.twitter.myreceiver”,“com.twitter.myservice”,“com.twitter.notifyactivity”等惡意廣告元件。
圖6僞推特下載下傳器的界面
圖7 僞推特下載下傳器的惡意廣告元件
圖8 僞推特下載下傳器額外申請的權限
* 連接配接 91hao.com伺服器(分析時伺服器已經下線)擷取指令
圖9 僞推特下載下傳器在伺服器上靜默下載下傳應用
樣本三:悠悠村市場 (uucunplay)
包名:com.uucun4470.android.cms
md5: e7d6fef2f1b23cf39a49771eb277e697
sha1: f5735dc4d9502f99d3b62c49ef083b403d627124
該病毒樣本首先申請了大量高危權限(安裝應用,發送短信等),随後僞裝成google play應用安裝隐藏在系統目錄中。因為在“/system/app/”路徑下的是預設擁有system權限的,是以該病毒樣本可以在使用者不知情的情況下在背景下載下傳并安裝應用到手機當中。
圖10悠悠村市場申請的權限
<b> </b>
圖11悠悠村市場的應用資訊(僞裝成google play)
圖12悠悠村市場的界面(僞裝成google play)
悠悠村市場靜默安裝其他apk檔案的方法在“com.uucun.android.j”中,惡意樣本會現檢測目前是否有安裝其他應用的權限:
随後悠悠村市場會調用靜默安裝的api進行apk的安裝:
根據動态分析,該病毒樣本會到這些apk市場上下載下傳應用:
<a href="http://apk.hiapk.com/">http://apk.hiapk.com</a>
<a href="http://agoldcomm.plat96.com/">http://agoldcomm.plat96.com</a>
另外,病毒樣本還會将搜集到的手機資訊上傳到這些伺服器。
<a href="http://cloud6.devopenserv.com/">http://cloud6.devopenserv.com</a>
<a href="http://pus7.devopenserv.com/">http://pus7.devopenserv.com</a>
<a href="http://log6.devopenserv.com/">http://log6.devopenserv.com</a>
通過whois.com查詢發現是上海的一家叫悠悠村的公司的伺服器。
圖13 devopenserv.com的whois資訊
圖14 uucun的網站
根據介紹uucun是國内首家&最大appstore解決方案商(優拓解決方案),成功幫助超過300家手機廠商、方案商、手機賣場以及第三方rom提供appstore解決方案。同時,也是國内最大的無線廣告平台,平台聚集1000家廣告主、5萬家開發者。
其中提到了為第三方rom提供appstore解決方案。難道所謂的解決方案就是将病毒僞裝成google play,然後預裝在手機中僞裝成google官方進行軟體推廣或者在背景進行靜默安裝?
三,事件分析
經過對樣本的分析以及調查後,我們可以得出結論: 手機中預裝病毒确有其事,但gdata公司的報告有些過于誇大事實了。首先這些病毒樣本并不是在小米、華為和聯想等廠商出廠時安裝的,而是在銷售的過程中,被經銷商預裝了病毒或刷入了帶有病毒的固件。其次,這些病毒的主要目的是為了進行軟體推廣,并不會過分的收集使用者隐私,是以中毒的使用者不用太擔心類似icloud照片門事件的發生。
圖15 通過rom傳播病毒的流程
圖16 央視新聞對手機預裝病毒的報道
另外,在手機中預裝病毒的案例這并不是第一個,比如說lookout曾經報道過jsmshider病毒,就是一種預裝在手機rom中的惡意短信扣費病毒[2]。在學術界也有預裝病毒方面的研究[3]。但随着國家政策對短信扣費類的服務嚴加管制,地下産業鍊已經将主流手機病毒轉型為惡意軟體推廣類病毒了。因為随着移動網際網路的興起,軟體推廣業務已經變成一塊人人都想搶的蛋糕,推廣者(黑客)隻要能做到一個下載下傳安裝運作就可以擷取5-20元不等的軟體推廣費,這也就是為什麼惡意推廣病毒會這麼流行的原因。
<b>四,</b><b>對消費者的建議</b>
為了避免中毒,消費者應該在正規的官方管道購買手機,不應該貪圖便宜而在不安全的小商場購買。如果不放心自己的手機是否中毒,可以下載下傳手機安全應用(比如阿裡錢盾等)進行安全掃描,如發現惡意病毒應立刻進行解除安裝。
圖17 錢盾清除界面
<b>五,</b><b>參考文獻</b>
1. gdata 2015年q2移動惡意病毒報告https://public.gdatasoftware.com/presse/publikationen/malware_reports/g_data_mobilemwr_q2_2015_us.pdf
3. min zheng, mingshen sun, john c. s. lui. "droidray: a security evaluation system for customized android firmwares", asiaccs 2014
本文來自合作夥伴“阿裡聚安全”.