前言:
近期,腾讯安全实验室捕获一款在用户设备上有异常流量访问应用,此木马在用户设备上存在私自获取设备信息,用户行为隐私数据,后台频繁访问网络请求,云控方式下发刷量插件行为,经过安全人员分析,这批软件属于新发病毒,通过创建低像素窗体让用户难以察觉,所有屏幕触摸,滑动事件会同时响应到隐藏窗体,模拟真实用户网页浏览行为,同时分析用户行为数据欺骗广告主流量统计反作弊算法,实现变相流量欺诈目的,通过视频广告刷量,CPD下载量,周期性拉新服务,赚取广告推广费用等,实现灰色牟利。
逃逸技术:
1.静态检测技术:包名,类名,方法名混淆成特殊符号,字符串隐藏未加密数组,每个类自动化生成不同的加密算法。
2.动态沙箱检测:多种设备状态监控,包括模拟器,流量分析工具,设备是否Root,网络代理分析软件检测,全面识别
非真实用户运行环境。
3.云服务逃逸:将恶意功能剥离成补丁文件并存储在云服务器,通过云端下发热补丁修复方案,云端配置是否下发,在用户端执行恶意功能代码,可以绕过应用安装包检测和增加蜜罐分析的难度。
变现方式:
1.恶意推广应用:从云端获取应用推广任务,对不同用户推广应用。
2.电商平台引流:从云端获引流任务,操控中毒设备推广指定商家产品到用户。
3.视频点击量:后台短时间频繁发送大量网络请求,针对热门视频网站进行刷曝光量。
4.广告作弊刷量:多广告平台叠加,多种类型广告支持刷量,模拟真实用户点击视视增加曝光量,下载,安装,更新等数据上报。
安全威胁:
关键词:主要危害涉及隐私窃取,流量欺诈和云控作恶
一、恶意软件运行流程图
二、样本与感染用户数
2.1恶意应用主要通过下发恶意sdk刷量任务,动态加载的恶意功能模块,补丁等方式加载实现恶意功能,通过动态加载模块关联后台恶意样本top15如下图:
2.2 6月至9月的感染用户变化趋势,平均日影响上万用户。
三、对抗方式分析
3.1静态检测技术逃逸
自写算法或常见对称算法对字符串进行加密,并在运行时还原为原本的字符串,对抗安全检测
通过随机生成包名,类名等,基本属于同款恶意插件,避免安全软件查杀,同样的代码在几份sdk中使用了不同且无规律的包名,代码相似度极高,便开始周期执行恶意功能并启动拉新服务。
3.2动态沙箱检测逃逸
针对http/https设置反代理方案,通过获取当前系统是否处于wifi代理,若代理的IP和Port与设备不一致,直接拦截请求及检测设备是否存在Root权限
3.3云服务逃逸技术
应用在运行过程中打补丁便捷的行为方式,同样也带来安全隐患,完全绕开应用商店策略,补丁代码安全可想而知,在用户不知情的情况下做各种恶意行为,如用户隐私,监听用户行为数据采集等,如图下发补丁方式上报活跃流量
四、刷量业务范围
恶意应用会定时联网与服务器通信,更新并加载最新的SDK恶意插件,根据流量监测情况,频繁调整刷量功能及业务范围,该插件通过接收与响应服务器下发指令,后台隐藏执行多种作弊刷量推广业务,进而实现自身牟利,目前最新版本的作弊刷量推广业务涵盖搜索、购物、新闻、视频、红包等多个领域。
五、应用详情分析
恶意功能导图:
5.1母包代码结构:
请求数据包含要执行的刷量,上报,检测等任务插件
请求链接:d.b***net.com
请求数据:网络类型,IMEI,type,model,IMSI,版本,手机品牌,系统版本等内容
返回内容:包括子包id,包名,子包下载url,软件名,描述等
5.2注册/监控设备
恶意模块启动后,主要完成一下几个动作:
1.将软硬件基本行为信息,如硬件imei,nettype,version,andver,brand,model设备及监控视频状态,据POST提交到服务器来注册设备:p**.**.com
2.监控设备:上报用户操作设备数据,包含app_list 列表...
3.先访问CNZZ的数据中心:z*.**.com设备id,推测此请求是用来统计感染的设备数量
4.发送设备数据到a.b**net.com来注册受害设备
服务器响应数据包:与首次安装该软件信息对比,用户更新的软件信息
5.3周期性拉新
通过随机包名插件,基本属于同款恶意拉新插件,代码相似度极高,代码中便开始周期执行恶意功能并启动拉新服务。
上报数据统计中心服务器,统计感染的设备数量
5.4刷视频曝光量
通过创建很难被察觉的1pdi像素webview窗体来播放视频,通过调用JS接口进行交互,所有触摸,滑动事件会同时响应到webView上,模拟点击webwiew网页中操作,这样做就真实模拟到用户网页浏览行为,欺骗广告运营商的流量统计反作弊算法,来变相进行刷量的目的。
视频播放一段时间后,通过JS判断是否播放成功,来决定后续的任务执行逻辑
攻击视频网站搜狐,爱奇艺,youku,365yg,pptv等
使用js脚本刷视频点击量:
js函数监听页面操作播放,暂停,点击,停止
js函数计算页面元素相对位置,并进行滑动,点击操作
5.5电商产品引流
请求内容包括:拉新应用包名,网络类型,IMEI,手机品牌,系统版本等内容
利用剪贴板功能,周期性的将口令写入到剪贴板中,这样当用户打开电商app应用后,会自动引流对应的推广页面来完成指定淘宝网店引流
服务端响应内容包括:淘宝口令,点击id,包名等
5.6关键字优化
优化产品关键字和形容词,进行搜索查询,来欺骗搜索引擎算法提高搜索结果先后顺序
5.7刷下载量
产品曝光来按下载量计费,此恶意插件通过伪造CPD下载量来达到不法牟利的目的
5.8 CNNZZ统计与广告后台
大部分由d.b***t.com域名下发的插件,均带有用于统计感染量链接,获取设备唯一标识信息包含,产品品牌,产品制造商,产品型号,设备型号等,最终指向CNZZ统计与广告统计后台
四、相关URL整理
五,黑产溯源
通过对相关信息溯源发现位于深圳的两家黑产公司,溯源到的相关域名:php.**.com,log.**.com,v.**.com,ff.**.com
六、检测和防护建议
木马应用仿冒系统应用的软件名,恶意行为对普通用户来说感知力非常弱,具有很强的隐蔽性,迷惑性强,此木马功能强大,用户设备一旦感染,逐渐被幕后黑产人员监控设备,并提供最新的恶意补丁,沦为黑产分子进行应用推广,视频盗刷,电商引流等虚假的行为“肉鸡”。
针对普通用户如何避免受此木马的侵害,我们对给出了如下防护建议:
1,不要安装非可信渠道的应用、不要随意点击不明URL链接和扫描安全性未知的二维码信息;
2,及时对设备进行安全更新;
3,安装腾讯手机管家等安全软件,实时进行保护;
4,若发现手机感染木马病毒,请及时使用安全软件进行清理,避免重复交叉感染。
*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM