Monthly Archives: 十二月 2015

新“马”新气象,拦你没商量

Post by Godyu

近期,AVL移动安全团队接到一例用户的可疑短信鉴别请求,短信内容如下: 1

随后相关分析小组马上对该短信内容进行了响应分析,分析后发现,如果有用户点击短信中URL,会导致下载木马并诱导用户安装,木马执行后,将会拦截并转发用户接收到的短信,并接收短信指令执行其他恶意行为。

短信拦截马在手机恶意事件中早已屡见不鲜,但因其明显的趋利性,短信拦截马数量仍不断攀升,使用的伪装技术、防篡改技术、反卸载技术更是不断推陈出新。

AVL移动安全团队通过对此拦截马的跟踪分析,并对近期出现的拦截马抽样分析,发现以下几点新趋势:

  • 1. 使用360、腾讯、阿里等最新的加固方式,且占比不断增大。
  • 2. 对拦截马的使用进行期限设定。
  • 3. 对拦截马自身进行证书效验,以防止他人篡改。
  • 4. 以伪装成中国移动相关的应用名称最多,但同时伪装成“相片”“资料”类应用名的拦截马数量有明显增加。

一,恶意代码行为说明

根据AVL移动安全团队对此短信拦截马的详细分析,分析人员发现该木马存在以下恶意行为: 2

二,恶意代码详细分析

1 动态分析

程序首次运行时会请求激活设备管理器,用户点击激活成功后,会隐藏图标。 34

当用户在设备管理器中取消激活该应用并尝试卸载时弹出虚假的卸载选项,点击该卸载选项时则会提示“激活之后自动卸载”诱导用户再次激活设备管理器,防止恶意应用被用户卸载。 56

2 静态分析

2.1 使用360加固技术

7

脱壳后的包结构如下图: 8

2.2 主控手机和恶意邮箱以明文设置

恶意主控手机号码在代码当中明文设置。 9 恶意邮箱以及相应的密码。 10 11

2.3 对拦截马的使用进行期限设定

程序运行时会判断当前系统时间是否超过有效期”2016-12-31 23:59:59″。 12

2.4 执行恶意行为时将手机设置为静音模式

当手机系统版本不低于4.2.0 时,程序在后台私自发送短信前都会将手机设置为静音,防止被发现。 13 14

2.5 接收短信指令执行恶意行为

程序运行时还会对接收的短信进行监听,当主控号码发来短信时,会对短信内容进行解析获取指令信息,并控制执行相应的恶意功能。 15 16

短信指令及对应恶意行为: 17

2.6 卸载时弹出虚假卸载提示

当用户在尝试卸载该恶意程序时,会弹出包含有恶意应用图标和名称的卸载选项,用户点击该图标后提示虚假的卸载信息并继续在后台运行。 18 19

2.7 校验证书防篡改

该程序运行时会获取证书相关信息并通过Base64加密算法计算后得到相关的key信息进行匹配检验,防止恶意代码被恶意篡改。 20

在接收到短信以及用户卸载应用时证书校验通过后才会执行相应的恶意功能。 21 22

三, 背景信息

对该样本当中包含的恶意主控手机号码和邮箱进行了简单的背景信息调查,我们发现:

1 主控号码为:13798543494,归属地为广东省深圳市移动用户。主要用于接收用户短信等信息。 23

2 恶意邮箱账号:13798543494@163.com 主要用于接收用户联系人、短信等用户隐私信息。目前已有大量用户隐私被上传到该邮箱(如下图)。 24

通过对该邮箱信息进行分析还发现以下恶意APK下载地址:

  • t.cn/RU**zaV
  • t.cn/RU**DFj
  • t.cn/RU**O49
  • t.cn/RU**gSH
  • 985.so/**9d
  • t.cn/RU**r7d

四,安全防护建议

恶意软件作者通过非法渠道获取到用户个人信息,通过伪基站向用户发送欺骗短信。当用户点击网址下载安装恶意程序后,恶意程序就会在后台拦截用户短信,通过邮箱上传用户短信和联系人信息到指定邮箱上。恶意作者很可能利用盗取的网银验证码等敏感信息获取暴利。有关此类拦截马的地下黑色利益链,详见《短信拦截马黑产揭露》

短信拦截马不断大规模爆发,并极易造成用户重大经济损失以及隐私泄露,因此AVL移动安全团队再次提醒用户:

  • 珍惜生命,远离山寨 拦截马一般通过钓鱼、诱骗、欺诈等方式诱导用户装上木马,建议用户保持良好的上网习惯,不要在不知名的应用市场下载应用;
  • 好奇害死猫,谨慎为好 不要随意点击任何短信中的链接,包含但不限于短信内容含“资料”“相册”“中国移动”等信息;
  • 切勿中了“熟人”的套 对“熟人”发送的带有URL的短信要格外警惕,因为可能他的手机已中毒。
  • 选用正规厂商的手机安全软件很有必要

最后小编给大家推荐个手机安全软件——AVL Pro,目前已经可以对该木马进行全面查杀噢!

AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:http://blog.avlyun.com/?p=2634

扫一扫关注AVLTeam微信公众号,获取更多安全资讯: 微信二维码

听说抢火车票也能开外挂了?别逗了!

post by Godyu&&markseven

【引言】 12月8日,春运火车票开始预售。大批“城市候鸟们”蜂拥至12306购票网站、客户端,只为能抢到助他们完成春节迁徙的车票。一票难求,相同的一幕每年重复上演。然而,与往年不同的是,12306为防止“黄牛”抢票而设计的图片验证码门槛,将一部分购票者也挡在了家门外。于是乎,外挂来了。近期,出现一款名为“12306春运速订票”的APP程序,听名字感觉是一个可以更快抢到票的神器。

然而,是真外挂,还是有猫腻?

通过分析,安天AVL移动安全团队发现,该应用其实是一款伪装成“铁路12306“的虚假APP程序。对该伪装程序进行深度分析后,安全人员发现某域名上包含大量同类型的伪装知名应用的恶意APP程序。通过进一步关联分析,安全人员发现该域名从2013年11月至今共传播2600个以推送广告为目的的APP程序,传播次数达75106次。该批程序伪装成知名应用、知名游戏攻略,通过对该类应用植入点乐、蓝鲸客等广告SDK实现广告功能,并通过虚假应用诱导用户点击广告。据悉,目前被伪装的应用还包含新浪微博,搜狗输入法,魔漫相机,掌上英雄联盟盒子等一系列知名APP。

一、伪装应用分析

1、动态现象

该应用伪装成“铁路12306”官方订购火车票软件,运行时通过积分墙推送广告,用户点击广告会无提示下载应用。下载结束后会通过系统安装界面提示安装。在用户点击回退按钮和应用背景图片时会弹窗来诱导用户继续点击获取推送的应用。

程序图标和启动界面如下图所示: 1

启动界面与正版应用相差无几: 2

程序运行时会自动弹出对话框,用户点击“赚积分”会进入到积分墙广告,点击积分墙应用下载获取积分来激活软件功能。 3

当用户通过积分墙广告下载应用获得积分后,激活应用出现虚假火车票查询界面以及快捷购票攻略信息。 4

2、详细分析

当前分析的应用程序的包名为:“com.zlcysdp.model”,包结构如下图所示,可以看到与广告(点乐和蓝鲸客SDK)相关的包结构。 4.5

程序运行时通过读取资源文件,解析关键字段获取广告相关信息,进行初始化,并调用广告SDK的功能模块来完成广告的推送。

2.1 解密获取关键数据信息

读取文件adv.xml解析点乐和蓝鲸客的SDK相关的参数值“APP_ID”,通过cha方法解密程序运行时要使用到的关键URL网址。下图为资源文件以及原始的加密内容信息。

5 6

解密方法cha以及读取资源文件adv.xml的解析关键字段数据的核心代码: 7 8

解密可以得到如下表所示的关键字段信息:
表1

2.2 调用广告SDK进行推送

解析dianle字段获取的APP_ID值进行点乐广告SDK的初始化并启动广告积分墙界面” com.zlcysdp.model.Myview”和推送广告的服务” com.zlcysdp.model .MyService”。

9

解析lc字段获取的APP_ID值进行蓝鲸客广告SDK的初始化并请求广告信息。

10

该类应用当中的广告件调用方法与常规应用当中是一致的,主要通过广告件SDK来完成广告的推送功能。广告的详细推送过程受篇幅所限,在此不作详细分析。

2.3 虚假界面分析

激活后应用分为“首页”,“资讯”,”搜索“,“攻略“,”更多“等五个界面,通过读取资源文件中的内容实现,并无实际相关的功能。

主页界面通过读取并解析应用资源当中的xml和html文件的数据来实现。

11

12

首页中的头部轮播图片通过加载资源当中的图片文件来实现。

13

2.4 推送同类恶意app应用

我们通过对同类程序分析发现部分程序还会通过联网访问解密得到URL,获取远程服务器返回的字段指令信息,同时解析指令信息获取指令状态信息来控制自动更新、下载同类恶意应用,并调用系统安装功能提示用户安装。

程序运行时联网访问网址http://kg.plapk.com/html/zlcysdp.html 获取返回的指令字段信息,如下图所示,返回的指令包含两部分以分隔符隔开。指令第一个字段用来控制是否进行更新, 第二个字段是提示给用户的更新信息。

14

解析指令信息获取指令状态进行判断,为”true” 时提示更新应用相关的内容(” 增加功能:&1.新增一键分享到朋友圈 &2.解决三星手机黑屏问题&3.解决小米手机黑屏问题 &4.新增一键开启360安全补丁“)。程序会自动通过网址http://kg.plapk.com/upload/zlcysdp.apk下载更新的应用。

15

下载完成后调用系统安装界面提示用户安装。

16

我们尝试下载了该应用程序,发现与该主程序是同一类恶意程序。

17

2.5 上传用户设备信息

部分应用当中我们还发现当用户在下载推送的应用APP,点击“去除广告”按钮,积分发生变化,打开积分墙广告时会通过http://w154151.s114.chinaccnet.cn/ShowListAction&operType= 以POST方式上传用户手机IMSI,IMEI,手机型号和IP地址信息。

18

通过网络数据包的返回数据我们发现该服务器目前已关闭并不能正常使用收集用户的隐私信息。

19

二、域名统计信息

通过我们内部系统对该域名的传播数据进行检索,发现有16个相关的子域名,相关域名信息如下表所示。从表中可以看出恶意子域名“kg.plapk.com”最早也是传播恶意样本和传播次数最多的域名”www.plapk.com”次之。根据域名与IP的对应关系发现:IP数量为5个。这些IP中“61.164.140.79”传播恶意样本最多。“61.164.140.66”传播恶意样本次数最多。

表2

同时,我们也观察到plapk.com 域名的主页为“极乐2.0”。该网站无实际功能主页以6张固定图片轮播,具有很强的伪装性。

20

通过whois查询,我们发现该域名归属地为浙江温州,注册人为“zheng zeling”以及相应的注册邮件为“q7179923@foxmail.com”。

21

三、应用统计信息

该批样本伪装的APP主要为一些拥有大量用户的知名应用或者为一些知名游戏的攻略以及常用的一些工具应用。包名都是以“com”开头“model“结尾中间使用随机英文字母组成。大部分应用使用了梆梆加固。下表为选取的部分代表样本相关信息。

表3-水印

综合上述分析我们可以猜测恶意作者通过批量的生产该类伪装应用,向应用当中植入包含点乐和蓝鲸客广告SDK的APP进行流氓推送,诱导用户下载推送的应用,并且在程序当中通过虚假推送同类恶意程序来增加用户点击的流量从而获取大量广告流量的收益。

四、小结:

通过虚假应用方式来诱导用户安装并推送广告获取流量收益在Android平台是很常见的现象。如本博客之前博文中提到的,以无实际功能的网站作为伪装,后端服务器传播恶意应用来推送广告的行为在通过获取广告流量牟利的驱使之下已经愈演愈烈,该域名传播的伪装应用不仅借用知名应用之名来传播,还利用热点事件,传播广度已经十分惊人。AVL移动安全团队提醒您,请勿随意下载非官方来源的应用。目前AVL Pro已经可以全面查杀该恶意应用,有效保护您的手机安全。

AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:http://blog.avlyun.com/?p=2590

扫一扫关注AVLTeam微信公众号,获取更多安全资讯: 微信二维码