手机游戏之殇:被仿冒的不只是Pokemon Go

By | 2016年7月26日

  QQ图片20160726182458

       最近,一款名为《Pokemon Go》(又名:《口袋妖怪GO》)的手机游戏火爆全球,但由于锁区策略,中国玩家们无法体验正式版,于是纷纷把目光投向网上各类修改版。玩家们的需求让恶意开发者看到了可乘之机,各类仿冒Pokemon Go的恶意应用趁虚而入,在鱼龙混杂的游戏应用市场,玩家们的个人隐私和财产安全正遭受着严重的威胁。

       近期,安天AVL移动安全团队和猎豹移动安全实验室在研究仿冒游戏类病毒时发现,除了Pokemon Go外还有大量仿冒其他知名手机游戏的病毒存在。其中一起案例由于极高的感染次数引起了安全研究专家的注意:该病毒从2015年11月爆发至今,总感染事件数高达300万次。其中月感染数据如下:

1

图一

        该病毒通过仿冒国内的知名手机游戏进行传播(详细信息见图二),一旦用户不慎下载、运行了该病毒,该病毒将立即下载提权文件获取root权限,夺取系统的控制权;频繁静默下载推送应用,注入系统进程发送扣费短信,造成用户极大的财产损失。

2

图二

        另外值得注意的是,该病毒拥有自我更新的功能,可以远程获取最新的恶意模块。我们整理该病毒时一共发现了38个不同的版本,将这些版本以功能分为三大类,各类版本出现的时间节点如图三所示。从图中可以看出,从Version 1到Version 3,病毒增加了私自提权和注入系统进程的恶意模块,进一步控制感染用户手机并实施危害性更大的恶意行为。

3

图三

        由于该病毒恶意代码部分频繁出现JMedia类,因此将该病毒命名为JMedia病毒。

详细分析

Step1:释放病毒程序

        JMedia病毒程序具有通用的释放模块,通过运行时解密assets目录的资源文件来释放病毒的核心程序模块pload.apk。其中,加密的资源文件主要以.dat和.rs作来后缀。

4

Step2:联网获取核心数据文件

        JMedia病毒所有的恶意功能依赖云端下载的核心数据文件。释放的病毒程序运行后解密出2个关键的网址,分别来获取恶意程序二次联网下载的数据信息以及扣费短信相关的信息。联网下载的流程如下图所示,其中下载的核心数据文件包含有root、注入工具包、新版本木马程序和推送应用。

5

        下载数据网络抓包截图如下:

6

        扣费数据网络抓包截图:

7

Step3:私自提权

        JMedia病毒解压私自下载的Root工具包sdkup.jar,将assets目录下的rt.so文件解密到目录data/data//app_pt_odex/rt.so.apk中,利用rt.so.apk来获取手机Root权限。

8

        解密出的rt.so.apk程序包结构如下图:

9

Step4:恶意推送

推送恶意应用到系统目录

        JMedia病毒从root工具包sdkup.jar里解密释放data.rs,并将文件重新写入rtm.sh。通过rtm.sh脚本文件将从sdkup.jar中解密释放的view.so、aprc.so文件推送到系统目录下,并加锁重命名为SystemPlus-view12.apk、aprc。其中SystemPlus-view12.apk为同类病毒程序,daprc将自身写入启动脚本。

         rtm.sh脚本内容:

10

静默安装、卸载推送的应用

        JMedia病毒私自下载应用并储存在SD卡根目录的ssme/data中,通过root权限将这些应用通过pm install –r命令静默安装,甚至推送系统目录下。当应用安装的时间大于或者等于网络获取的指定时间后通过 pm uninstall 命令进行静默卸载的操作。

         静默推送和下载的应用信息:

11

12

Step5:注入并恶意扣费

        JMedia病毒通过脚本文件rtm.sh将root工具包中解密释放的in-fun1.so,in-fun2.so,in-injectso.so,in-libvangd.so重定向到/data/local目录下。         

        rtm.sh脚本命令:

13

14

注入系统进程

        JMedia病毒将/data/local/目录下的Injectso, libvangd.so文件注入系统phone和mms进程,然后调用tmp-drp.apk或tmp-msg.apk来完成后台短信吸费的功能。

15

16

        注入系统进程后加载执行的程序包结构如下:

17

18

恶意扣费

        JMedia病毒联网获取到扣费短信相关的网络数据字段信息后,通过注入的程序tmp-msg.apk来实现后台发送业务类订购短信、拦截回执短信并删除相关短信的吸费操作。

19

解密出来的扣费数据

20

        1066335588号码在网上有大量扣费背景

21

22

Step6:自我更新

        JMedia病毒在运行时会检查自身的版本,当有新版本时会进行版本更新。

23

        文件名和保存目录:

24

总结

        JMedia病毒通过仿冒知名游戏应用在国内广泛传播,在高峰期每月有52.7万次感染事件。该病毒恶意性极强,一旦进入用户手机就立即下载提权模块获取ROOT权限,然后进行后续的下载推广应用和恶意扣费行为,极大地危害的用户的财产安全。另一方面该病毒拥有在线更新模块能力,感染用户如果没有及时清除该病毒,将会被下载更多的恶意模块,给用户手机带来更大的危害。        

        从JMedia病毒也能看出目前手机应用分发渠道的乱象,部分下载渠道未对渠道内应用进行安全审核,用户一旦从这部分渠道中下载了伪冒游戏的病毒,其隐私、财产安全将遭受极大的威胁,下载渠道本身也会遭受极大的负面影响。

安全建议

        针对JMedia系列病毒,AVL Inside系列集成合作方产品和猎豹专杀工具已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:

         1.请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;

         2.谨慎点击软件内推送的应用,不安装来源不清楚的应用;         

         3.不要轻易授权给不信任的软件Root权限;        

         4.如果您已经中了类似病毒,建议您使用Root工具将设备进行Root,使用杀毒软件及时查杀病毒。查杀完成后,如您不再使用Root,请务必使用Root工具取消Root,避免Root权限被滥用带来的设备安全问题。         

        安天AVL移动安全专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。

        AVL Inside以全球最佳移动反病毒引擎为核心,专注于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前已与众多知名厂商达成战略合作,为猎豹、小米MIUI、阿里云YunOS、OPPO、努比亚、步步高、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。

附录

C&C相关信息

hxxp://if[.]anycell-report[.]com:6737/main.aspx
hxxp://if[.]jmede[.]com:6577/main.aspx
hxxp:// down[.]tuohuangu[.]com /download/sdkup.jar
hxxp://down[.]tuohuangu[.]com/download/jmsec103B.jar

转载请注明来源:http://blog.avlsec.com/?p=3381

欢迎关注AVL Team官方微信

微信二维码

发表评论

电子邮件地址不会被公开。 必填项已用*标注