揭祕仿冒應用的神祕面紗
一、概述
我們生活在移動資料的時代,手機已經伴隨著我們生活的方方面面,而手機端應用迅速佔據市場,成為人們手機中的掌上玩物,讓人愛不釋手,可是,在大量應用井噴式的增長過程中,導致市場大量應用堆積,種類繁多,魚目混雜,這些應用良莠不齊,甚至有些為惡意應用。由於使用人數較多,伴隨著越來越多的仿冒應用參雜其中,給使用者群體造成損失也是巨大的。
近期暗影安全實驗室發現一款仿迅雷圖示的應用,該應用利用仿冒迅雷的圖示,誘惑使用者下載使用,執行後瘋狂傳送扣費簡訊,獲取使用者隱私。
二、惡意程式樣本分析
2.1 樣本概述
檔案結構:
圖2-1 樣本結構目錄
惡意行為描述:
1、該程式是一款仿造迅雷圖示的移動應用,該應用程式安裝執行後可以使用觀看或下載視訊等功能。
2、該應用程式執行後,後臺獲取使用者簡訊資訊以及聯絡人號碼資訊,私自獲取手機號以及IMEI、IMSI等資訊,傳送到指定url,造成使用者這些隱私資料洩露風險。
3、訪問指定伺服器,獲取訂購SP資訊,在使用者不知情或未授權的情況下,私自發送扣費簡訊,造成使用者經濟損失。
4、該應用在使用者後臺私自訪問網路載入廣告資訊,造成使用者流量消耗。
2.2 程式啟動流程
2.2.1 惡意程式啟動流程圖
程式啟動流程導圖,如圖2-2
圖2-2 惡意程式執行流程
2.2.2 執行介面
程式安裝後的桌面圖示以及執行後的首介面,如圖2-3:
圖2-3 程式圖示及首介面
2.2.3 惡意程式執行結構程式碼
1. 病毒啟動後檢查網路確認是否連線網路,如果沒網路,則會提示退出,否則會繼續執行,動態註冊廣播,並監聽非home鍵廣播,顯示正常介面,如圖2-4:
圖2-4 聯網啟動主介面
同時,在使用者未知情的情況下,啟動惡意程式,如圖2-5:
圖2-5 載入並啟動惡意程式程式碼
啟動執行緒池,讀取本地資原始檔,初始化並呼叫各種外掛,執行惡意操作,如圖2-6:
圖2-6 啟動惡意程式執行緒池
2.3 隱私竊取分析
病毒在使用者不知情的情況下私自獲取使用者簡訊資訊,私自獲取手機號以及IMEI、IMSI等資訊,並儲存到日誌中,上傳伺服器,然後刪除具有隱私竊取屬性。
應用啟動後,後臺獲取使用者簡訊資訊,如圖2-7:
圖2-7 獲取用簡訊
獲取使用者手機號碼以及裝置硬體等資訊,如圖2-8,圖 2-9:
圖2-8 獲取使用者手機號碼
圖2-9 獲取使用者手機裝置ID以及位置等資訊
同時,監聽手機廣播獲取使用者簡訊資訊,並記錄儲存到日誌,上傳伺服器,並刪除簡訊,如圖2-10:
圖2-10 獲取使用者簡訊記錄到日誌並刪除
根據版本不同上傳到不同伺服器,解密後得到:
http://******.225.59:8091/*****
http://******ypush.com******
解密之前地址為,如圖2-11:
圖2-11 解密前的網址
2.4 惡意扣費分析
2.4.1 惡意程式扣費流程
通過以上原始碼分析,我們梳理出惡意應用程式的扣費流程導圖,如圖2-12:
圖2-12 惡意程式執行扣費原理:
2.4.2 扣費流程原始碼分析
程式執行後,從伺服器獲取所需要的資訊,在後臺執行傳送簡訊操作,如圖2-13:
圖2-13 從伺服器獲取sp號碼等資訊
後臺傳送簡訊執行扣費操作,如圖2-14:
圖2-14 傳送簡訊
部分SP扣費簡訊截圖,如圖2-15:
圖2-15 傳送簡訊
該應用程式載入了本地檔案yfpay.cf,讀取後得到外掛yf.apk,並啟動惡意程式updateServices服務,如圖2-16:
圖2-16 啟動惡意服務updateServices
在惡意服務中,動態註冊廣播,時刻監聽使用者手機簡訊接收,並用反射呼叫fy.apk裡面的惡意程式碼實現使用者簡訊擷取,如圖2-17:
圖2-17 呼叫外掛中的惡意程式
yf.apk外掛分析:惡意程式呼叫該外掛中的方法,主要實現了後臺靜默訂購的功能。
執行外掛yf.apk中的方法,攔截使用者簡訊,如圖2-18:
圖2-18 獲取簡訊並實現簡訊攔截
在惡意外掛yf.apk中實現MR校驗,即對簡訊做有效處理,實現訂購,如圖2-19:
圖2-19 對有效簡訊做二次回覆確認
並後臺聯網將使用者資訊上傳到伺服器,如圖2-20:http://******zou.com:8080/******
圖2-20 聯網上傳簡訊資訊
最後消除訂購痕跡,如圖2-21:
圖2-21 刪除訂購資訊
程式中涉及到的本地檔案utopay.jar和BDTX140解密後得到外掛Plugin2.apk以及本地檔案jzfdat解密獲得的外掛jiepayplugin.apk等均執行了類似操作,故不作原始碼分析。最後該惡意程式啟動該應用中的惡意程式碼類SS.class類,再次獲取使用者收件箱簡訊內容,以確保確認監聽到使用者手機中的惡意簡訊並攔截刪除,不被使用者發現,達到靜默扣費的目的,如圖2-22:
圖2-22 再次獲取裝置收件箱簡訊
並對簡訊進行篩選,實現指定簡訊刪除,如圖2-23:
圖2-23 篩選包含指定資訊的簡訊
獲取最新的簡訊記錄並指定刪除,達到靜默訂購的目的,如圖2-24:
圖2-24 刪除簡訊
此外,該應用還包含廣告外掛,在後臺載入廣告等資訊,如圖2-25:
圖2-25 後臺啟動廣告外掛
三、同特徵樣本統計
通過分析、提取惡意特徵,利用暗影安全實驗室的現有資料資源查詢到與此仿冒樣本擁有共同惡意特徵的樣本達到1000+個,通過抽樣測試,可以確定都為同一型別樣本,且大部分為遊戲破解類軟體和色情類軟體,佔比分別達到46%和50%,其餘型別樣本則不足4%,應用型別佔比如下圖,圖 3-1:
圖 3-1 抽樣樣本類別佔比
而且我們統計了進入今年來該型別樣本出現的時間,發現在寒暑假出現頻率較高,統計圖表如下。
圖 3-2 該型別樣本2018年出現時間頻次統計
四、總結
1.通過對該樣本的分析,我們可以確定該應用為惡意應用;
2.病毒主要行為之一是收集使用者隱私資料,如賬號竊取,流氓騷擾,這些行為可能是為後期其他惡意操作做準備,也有可能通過資訊售賣直接獲取利益;
3.該病毒樣本中還包含了一些第三方的廣告外掛,這無疑是該樣本又一個獲取利益的手段,無論是經濟利益還是達到推廣的目的。
五、處置方案以及安全建議
1.建議使用者提高警覺性,使用軟體到正規官網下載或者應用商店進行下載正版軟體,避免從論壇等下載軟體,可以有效的減少該類病毒的侵害。關注”暗影安全實驗室”公眾號,獲取最新實時移動安全狀態,避免給您造成損失和危害。
2.為防止病毒變種,使用者發現已經安裝此病毒的,可以請專業人員分析此病毒。
3.安全需要做到防患於未然,可以使用恆安嘉新公司的APP威脅檢測與態勢分析平臺進行分析對Android樣本提取資訊並進行關聯分析和檢測;
4.使用者發現感染手機病毒軟體之後,可以向“12321網路不良與垃圾資訊舉報受理中心”或“中國反網路病毒聯盟”進行舉報,使病毒軟體能夠第一時間被查殺和攔截。
宣告
本報告內容不代表任何企業或任何機構的觀點,僅是作者及所在團隊作為技術愛好者在工作之餘做的一些嘗試性研究和經驗分享。
本報告雖是基於技術團隊認為可靠的資訊撰寫,團隊力求但不保證該資訊的準確性和完整性,讀者也不應該認為該資訊是準確和完整的。這是主要是因為如下一些理由(包括但不限於):
第一,網際網路的資料無處不在,我們所能接觸到的是極為有限的抽樣樣本,本身不具備完整性。
第二,不同的技術方法獲取的資料有一定的侷限性。比如,終端agent獲取的資料只能涵蓋已部署終端的範圍;爬蟲技術的時效性和完整性受限於爬蟲的規模和能力;網路側探針技術受限部署探針的節點數量並只能對活躍的行為進行感知。
第三,即使已經納入到分析範圍的樣本,也會由於技術團隊規則和演算法的選擇造成統計結論偏差。
第四,技術團隊所得出的結論僅僅反映其數字本身,進一步主觀得出優劣性的、排名性的、結論性的觀點是危險的。因為安全事件往往伴隨著業務的良性增長,開放程度,法律法規以及黑色產業鏈的演進等多方面的因素,是一個複雜的生態問題。
此外,團隊不保證文中觀點或陳述不會發生任何變更,在不同時期,團隊可發出與本報告所載資料、意見及推測不一致的報告。團隊會適時更新相關的研究,但可能會因某些規定而無法做到。
最後,即使未經作者的書面授權許可,任何人也可以引用、轉載以及向第三方傳播。但希望同時能附上完整的原文或至少原始出處。這樣的考慮在於:第一,避免選擇性的部分引用造成的不必要的誤解;其次,避免某些內容的錯誤經原作者發現並及時調整後沒有體現在轉載的文中。
感謝大家的理解!
*本文作者:暗影安全實驗室,轉載請註明來自FreeBuf.COM