Monthly Archives: 十一月 2015

揭开山寨应用的伪装面具

post by Lee Sin & Markseven

智能手机的全面普及,已经让我们生活的方方面面都变得越来越便捷化。然而我们在享受“便捷”的同时也遭受着安全问题的困扰。为了增加手机的安全防护能力,各种各样的安全类应用应运而生。在安全软件的“强撸”之下,一些恶意软件瞬时“灰飞烟灭”,而有些恶意软件则在夹缝中寻得一丝存活机会。据了解,某些恶意软件开发者为了逃避杀毒软件的查杀,竟然戴上“正版应用”的伪装面具作恶。即通过在应用程序特定路径下添加恶意代码包,进而使各种二次打包的“山寨应用”成为各类移动恶意软件的主要载体。

近期,安天AVL移动安全团队发现了一种恶意扣费木马程序,该木马程序被重打包到Android程序兼容包下,进而进行一系列的恶意扣费操作。据悉,目前已有美颜相机、Google Search、天翼导航等众多知名APP受到波及。

一、 恶意程序流程分析

1.包结构分析

以下以篡改了正版美颜相机的山寨程序为例: 该山寨程序安装后的图标如下图所示,与正版的美颜相机图标一样。 1

运行时界面如下图所示,该山寨程序包含正常美颜相机相关的功能,表面上看与正版应用没有区别。 2-3

分析样本的静态结构,该山寨应用与正版应用的区别如下: 1.捆绑恶意包结构到android.support.v4包结构下。 2.将正版程序的入口程序篡改到捆绑包结构。

4

5

2.流程分析图

恶意程序运行的整体流程图如下图所示: 6

3.恶意功能

【资费损耗】  程序运行后会在后台无用户提示的情况下发送注册短信  在后台无用户提示的情况下发送订阅短信  对回执短信进行拦截并自动回复 【隐私泄露】  上传用户手机IMEI、IMSI固件信息  上传用户手机号码  上传用户安装的app列表  上传用户发送订购短信的日志信息

二、 恶意代码分析

1.恶意程序的静态包结构

程序运行会加载资源文件“animation.xml”,解密生成子模块程序文件sz.jar。下图为程序的主包程序、资源文件及解密释放的子包程序的包结构。 主部包结构及资源文件: 7

子模块sz.jar包结构: 8

2.联网下载核心数据文件

如上述流程图所述,程序加载子模块sz.jar通过startSdk启动新线程来联网下载核心数据文件1400054117000.mp3,下载该文件的域名是通过AES解密如下图所示的INSIDE加密字符串来获取的。

9

解密后的域名集以及网络路径信息如下图所示: (“subindex”字段为网络路径信息,”domain”字段为域名集信息)

10

程序会随机选取上述域名集当中的一个域名,获取用户手机相关信息(包括IMEI,IMSI,手机号,信息中心号码,手机品牌,sdk版本,wifi的mac地址,网络接入信息等)后以POST方式向远程服务器联网请求下载核心文件1400054117000.mp3。

11

对网络行为的抓包数据进行分析,如下图所示: 12

如上图所示,服务器返回的数据经过加密处理。 文件下载完成后伪装成音频格式文件(后缀为ogg),并将其保存在/data/data/ com.meitu.meiyancamera/rs目录下,并命名为dida.ogg。通过AES解密dida.ogg文件,可以获取子程序运行时的核心数据,例如:注册短信的号码和短信内容、获取订阅短信的url、短信拦截的关键字串、上传用户隐私的url等。

13

程序解密的秘钥是一个byte数组: KEYS = new byte[]{50, 96, -46, -34, 58, -61, -56, 78, -120, 42, -125, -95, 82, -63, 115,1};

解密得到的结果信息: 14

核心数据字段说明: 表格

3.子程序恶意行为分析

该子程序本质上就是一个远程控制功能模块,具备以下功能:

 发送注册短信、订购短信  拦截短信并自动回复  上传任务日志、固件信息、程序安装列表、发送成功短信的数量统计信息等用户隐私

实现以上恶意功能所需要的相关数据都是通过远程控制服务器下载的核心文件解密后获取的。

3.1后台发送注册、订购短信

注册短信: 子包程序sz.jar通过回调方法startSdk来启动线程TraditionBizshield后台无提示发送注册短信,短信内容由“Port”和“cmd”两部分组成 “Port”:13640905056 “cmd”:#fd#35513605566

15

订购短信: 子包程序sz.jar通过回调方法startSdk,开启线程GameThread订购网游业务。发送短信之前会联网获取发送号码及短信内容,联网的url由”ngurl“(解密”dida.ogg”文件获取)和”jknafjkla/dajfkjldas.mp3”拼接而成。

16

从上述url联网返回的JSON数据当中获取目标号码(port字段的值)和短信内容(cmd字段的值)后,发送登陆(注册)短信和订阅短信。

17 18

3.2拦截短信并自动回复

子程序在运行时还会注册监听短信收件箱相关广播,监听接收到的短信、彩信,通过判断拦截短信并进行相应的自动回复。

19

拦截号码为1065802710005发送的短信: 20

拦截特定字符串的短信并自动回复: (1)通过回调方法”smsCheck”,检测收件号码及短信内容。 21

(2)拦截SP以106开头,内容包含“点播、阅读、支付、感谢、中国移动、尊敬”的短信,并自动回复,短信自动回复的内容从联网下载的核心文件的autosms字段当中获取。 22

23

后台自动回复功能代码: 24

3.3上传用户隐私信息

子程序在发送短信的同时还会获取用户隐私信息,并将隐私信息保存本地文件后上传到远程服务器。 获取IMEI、本机号码,发送成功的短信数量: 25

获取应用列表信息: 26

上传记录用户隐私信息的文件: 27

三、 背景信息

对该样本当中包含的恶意主控手机号码,以及特定SP号码进行了简单的背景信息调查,我们发现:
1.手机号码“13640905056”的归属地信息为广东深圳中国移动,猜测可能为恶意作者的手机,用来通过接收短信来收集中毒用户手机号码信息。 28

2.网上有网友爆料接收到相关号码(1065802710005)发送的短信,但目前无法获取该号码的归属信息。 29 30

四、 总结

Android兼容库的主要作用是使新版本的Android框架中的最新特性能够兼容之前的Android框架,为不断升级的Android系统提供向下兼容性。

部分杀毒软件为了提高检测效率,会忽略对程序当中使用到的公共库文件的检测。本文提到的此类恶意代码的主要特点就是将自身隐藏在兼容包下,逃避杀毒软件的检测。目前AVL Pro已经可以全面查杀该病毒,有效保护您的手机安全。

AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:http://blog.avlyun.com/?p=2546

扫一扫关注AVLTeam微信公众号,获取更多安全资讯: 微信二维码

不好!耍流氓的盯上了双平台

post by markseven

【前言】 伴随移动互联网的高速发展与智能手机的全面普及,各类移动应用百家争鸣的同时,也推动APP推广模式的不断发酵与推演。借推广应用之名“耍流氓“并以此牟取暴利的”流氓软件“层出不穷,严重影响用户的移动终端安全与正常用户体验。

近期,安天AVL移动安全团队发现,某移动应用推广平台存在使用Android恶意代码进行流氓推广的行为。同时,安天追影团队通过追影平台也发现在Windows平台上存在相关联的新威胁样本,该样本一旦被安装到PC端,会通过USB连接向手机静默推送与安装应用。【追影平台是安天实验室最新开发的一款用以应对APT(高级持续性威胁)攻击的设备级鉴定产品】

直接通过手机应用进行APP的恶意推广行为并不少见,而像这样利用双平台(Windows和Android)联动“作案”的现象则鲜有出现。对此,安天AVL移动安全团队进行了密切追踪和详细分析。

一、 Windows平台恶意代码分析

1.样本概况

表格1 该样本是一个标准的PE程序,运行时无GUI界面,程序在后台运行时会联网下载Android手机USB连接PC时所需的驱动程序以及用来对Android应用程序进行安装的adb指令相关文件。

2.下载并安装其它组件

PE程序运行后,会在后台通过联网(http://222.186.#.#:1123/?action=getFileDL&files=deps.3)请求服务器返回其它组件的下载地址,并再次进行联网,下载相应的文件到PE程序的目录下。

1

特殊表 文件下载完成后进行解压,并设置相应的隐藏属性,防止用户发现。

4

common32.zip和common64.zip分别是Windows 32位和64位操作系统下的Android USB驱动安装包,可用于adb相关命令的执行。当用户使用Android手机通过USB与PC连接时,该PE程序会根据用户的操作系统,选择32位或者64位的安装包,并尝试通过dpinst.exe进行安装,安装完成后,就可以通过adb命令和手机通讯。 5

3.PC存储推广应用

驱动包安装完成后,该PE程序会继续联网(http://222.186.#.#:2222/?api=giveApkList)访问服务器,获取服务器后台需要推送的app程序list,并解析list,根据list信息下载相应的apk文件。

6

7

下载的apk文件,会存储在PC本地的隐藏目录apps下。 8

4.通过USB推送到手机

在Windows平台上,可以通过adb命令和Android手机通讯。比如 adb install命令可以把windows平台上的apk文件安装到Android手机中。

PE程序在下载apk文件过程中会尝试启动adb命令当中的install指令,来对存放在本地的apk文件进行静默安装。

9

由于adb install命令并不需要用户确认,因此该PE程序可以在用户毫不知情的情况下把应用安装到用户手机上。 手机静默安装前:

10

手机静默安装后:可以看到后台下载的应用程序被静默安装到用户手机当中,安装的应用如下图所示:

11-12

对安装的应用进行简单分析发现:当前推送的应用程序以游戏应用为主,部分应用是无恶意性的,部分应用包含支付插件(以qyPay.a和WeimiPay.a家族为主)。

5.程序的自我更新

PE程序运行时,会通过访问服务器(http://222.186.#.#:2222/?api=giveVersion)来检测该程序是否有版本更新,若有,则获取下载地址进行新版本下载,替换旧版本,将旧版本后缀更改为old。

13 14

相关代码如下: 15

二、 推送服务器的分析

1.推送服务器信息

对服务器的ip进行域名反查和whois查询,发现该IP归属地为江苏省镇江市,该IP与www.fa****.com域名对应。

16 17 18 19

2.推送应用抽查

通过我们内部系统对服务器域名(222.186.#.#)的传播数据进行检索,可以搜索到一些应用信息,其中部分样本被检出为newpaysdk76恶意家族。

newpaysdk76家族信息:运行时会联网上传用户手机固件信息,获取配置文件,私自发送注册短信、模拟点击登录远程服务器发送付费短信、拦截回执短信并自动回复,给用户带来经济损失。

部分推广的正常应用列表: 表格2

部分推送的newpaysdk76恶意家族应用列表: 表格3

三、 Android平台恶意代码分析

1.Android样本概况

我们对照样本库,发现有2个与该IP域名有关的证书,这2个证书分别借用Google和Baidu之名进行伪装。

该证书下的应用会伪装成系统应用“设置”,并在安装后无图标,后台监听用户解锁屏幕、网络变化、手机启动等广播,来启动远程服务器推送的安全性未知的应用下载操作。

相关样本信息如下表所示: 表格4 我们以Hash为EF286E56900DFDE396C2BFC8AA69E2DB的样本为例进行分析: 该样本的包结构如下图所示:核心功能在com.baidu.phoenixo3.set.it包结构中实现,通过命名为com.baidu的包结构来隐藏自身。

20 21

2.详细分析

该程序安装后,后台监听用户解锁屏幕、网络变化、手机启动等广播,并自启动,启动后,联网上传手机imei、sim卡序列号等信息,解析返回的Json数据,获取要下载的url链接、应用包名等信息。若指定的包名应用尚未被安装,且手机是wifi连接的环境下,则会执行私自下载、安装的操作。成功安装后,将执行的该任务信息发送至远程服务器进行报告反馈。此外,我们发现该应用的后续版本中,做了一定程度的混淆处理,并添加了申请超级启用权限、静默安装的代码,使得行为更加隐蔽。

获取用户imei,sim卡相关信息,构造联网获取远程服务器推送信息的相关代码: 22 23

解析服务器返回信息,并进行二次联网下载推送应用的相关代码: 24

相同证书下的部分样本还会尝试获取超级用户权限,然后静默安装下载的应用: 25

3.猜想

由上文对相关推送服务器的分析可知,域名(www.fa****.com)与IP(222.186.#.#)具有对应关系。而在这类Android应用当中我们还发现NetworkAPI类中的代码,出现了和PE程序相同的远程服务器IP地址(端口有变化)。但是这部分代码并没有找到直接的调用关系,结合它的传播途径,我们猜测该类样本可能会被后台配置,从PC端推送到Android手机当中,打通从PC端到Android平台的推送流程。

26

样本的捕获源信息: 表格5

四、 小结

通过分析可发现,该流氓应用推广行为,是同一服务器通过两个平台来进行。 Windows平台上,恶意代码在PC端执行adb命令,通过USB向Android手机静默推送安装应用; Android平台上,携带恶意代码的应用一旦被安装,就会在后台静默下载并安装安全性未知的应用。

虽然该流氓应用推广行为是通过不同平台进行,但最终的目的都是向用户的Android手机中安装应用,推广大量应用以牟取利益。在如今Android平台应用泛滥,各类应用之间的竞争愈发激烈,本文所提的流氓应用推广行为,会在Android平台广告和流量的利益驱使下,越发猖狂。

AVL移动安全团队提醒您,请勿随意下载非官方来源的应用。同时,流氓推广行为还会通过Windows平台,进行PC和Android手机双平台的传播,因此,我们建议用户在保护手机的同时,也需要保持良好的电脑使用习惯。目前AVL Pro已经可以全面查杀该Android端流氓软件,有效保护您的手机安全。

AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:http://blog.avlyun.com/?p=2481

扫一扫关注AVLTeam官方微信,获取更多安全资讯: 微信二维码