Monthly Archives: 十二月 2016

AVL Insight 开源情报工具:一站式情报管理服务

一、概要

  AVL Insight 开源情报工具是安天移动安全推出的一款情报收集工具,它是配合AVL Insight移动威胁情报平台的Chrome浏览器扩展程序,用户可以使用该工具,对网站中的公开信息进行收集整理,并对关键信息点进行结构化提取生成自定义情报,从而形成自己的公开情报库。   

  AVL Insight 开源情报工具基于移动威胁分析人员收集情报的需求而产生,以公开情报的收集和管理为目标,具有自定义情报、关联搜索、情报管理、情报导出等功能。AVL Insight 开源情报工具的出现将大大减少以往分析人员收集情报时的重复性工作,有效提升分析人员的工作效率。

当前,该插件可提供的服务包括: 1.自定义情报 通过“智能提取”(即智能化提取全文MD5、IP、域名、邮箱、检出名等情报属性)和“划词标定”(即用户自主选取文章内容,定义文章内容的属性)来进行文章情报信息的提取,生成情报。 2.关联搜索 使用该工具可选取关键信息至AVL Insight移动威胁情报平台进行关联搜索,基于AVL Insight移动威胁情报平台的海量数据及分析能力,获取更多高价值的移动威胁情报数据。 3. 情报管理 对已生成情报进行查看、编辑、删除等操作,自主管理情报。 4. 情报导出 可根据自己的需求,选取已生成的情报,一键导出csv文件,保存至本地。

二、下载安装指南

仅支持在PC端下载安装! 运行环境: 浏览器版本:chrome 48 以上版本 系统版本:Window 7 以上版本 / MAC OS X 10.9 以上版本

获取安装包: :因为该插件需要进入Chrome应用商店进行下载,而Chrome应用商店在国内尚未开放,用户需要翻墙才可以进入,所以这里我们提供两种下载安装方式,用户可根据自己的情况进行选择。

1、方式一:针对可进入Chrome应用商店的用户,插件可更新。

(1)、进入chrome浏览器,点击(链接)下载AVL Insight 开源情报工具 : http://dwz.cn/4VVmmD 直接在Chrome浏览器添加插件 QQ截图20161228181855 (2)、完成安装页面,右上角显示已启用插件QQ截图20161228182019

(3)、选择一个网页,进行刷新,右上角会显示该插件图标,8左键单击会出现登录弹框,如下图。 9

即安装成功。

2、方式二:针对不能进入Chrome应用商店的用户,此方式下载安装的插件不能自动更新,若需更新插件,建议使用方式一。

获取安装包文件,点击链接下载: https://pan.baidu.com/s/1gfPw2ZL 提取密码:hqhb

具体安装步骤: (1)、下载下来的文件包,如图所示。 QQ截图20161228182052

(2)、打开Chrome浏览器,3点击菜单键——更多工具——扩展程序,如下图。 4 弹开扩展程序页面,点选“开发者模式”,即可出现如下图所示场景,拖拽下载的文件在这个页面,上传即可。 56

(3)、完成安装页面,右上角显示已启用插件 QQ截图20161228182019 (4)、选择一个网页,进行刷新,右上角会显示该插件图标,8左键单击会出现登录弹框,如下图。 9

即安装成功。

三、工具使用指南

13

图 1 工具使用流程图

1、登录注册

通过以上方式下载安装AVL Insight 开源情报工具后,需要由工具菜单单击“登录”进行注册登录。 点击“快速注册”进入该工具注册页面填写邮箱并提交注册; 8

图 2 申请注册页面

注册成功,用户须进行邮件激活操作,激活后即可登录并使用AVL Insight 开源情报工具。 9

图 3 注册页面

2、情报提取

打开一篇文章,刷新页面,点击工具菜单“情报提取”,如下图。 10

图 4 情报提取1

可快速检索全文MD5、URL、IP、域名、邮箱、电话号码等信息; 22

图 5 情报提取

若提取信息不符合用户需求,用户可点击文本框进行编辑操作,也可点击 4444,删除该条信息。

3、 情报自定义抽取

若提取信息不符合用户需求,用户也可在文章中任意选取内容,自行添加其他情报内容。例如选取内容“典型的案例”作为“标题”属性,则情报标题为“典型的案例”,保存后,即添加了一条以“典型的案例”为标题的情报,如下图所示。如下图:

5767

图 6 自定义情报

若您需要列表范围外的属性字段,可点击列表“自定义字段”进行属性字段添加。 11

图 7 新增字段

添加成功后,即可作为属性字段使用。属性字段管理页面如下图所示,可进行搜索、新增、编辑、删除等操作: sd

图 8 自定义字段管理

4、 情报自主管理

用户保存情报后,会自动跳转至 “我的情报库”对生成的情报进行展示和管理。操作页面如下图所示: 5466666

图 9 情报管理

在此管理界面,可点击详情查看单条情报详情,,也可删除已生成情报。 12

图 10 查看详情

可点击文章标题进入情报编辑页面进行编辑,如下图。 13

图 11 编辑情报

可点击4444 删除情报,如下图; 14

图 12 删除情报

若用户需要将情报保存到本地,可以使用“导出”功能,快速导出情报至本地。
fd66cfa0606f9fa407e94c463c678512

图 13 导出情报

四、常见问题回答

1.为什么点击微信文章中的链接无法下载工具?

答:AVL Insight开源情报工具是PC端的Chrome浏览器扩展程序,因此您需要在PC端的Chrome浏览器中点击地址来进行下载,使用其他浏览器或使用手机点击地址都无法进行下载安装

2.在列表中添加的自定义字段在哪里进行编辑和删除?

答:无论是从属性字段列表中添加的属性字段,还是在”自定义字段“管理页面添加的字段,均会在”自定义字段“管理页面进行展示,您可以在”自定义字段“管理页面对其进行集中管理。

五、后续功能规划

1.情报导出时,支持STIX和Open IOC的相关的标准化的输出结构。 2.将陆续开放“关联搜索”的功能。 3.情报标签分类 4.部分交互优化

如有疑问,请直接联系avlsecurity@antiy.com,或咨询安天移动安全客服群:287981157 更欢迎您加入我们的产品体验群,我们在此恭候您的到来。 0000

转载请注明来源:http://blog.avlsec.com/?p=4346

更多技术文章,请关注AVL Team官方微信号 AVL-team二维码

病毒四度升级:安天AVL Team揭露一例跨期两年的电信诈骗进化史

   自2014年9月起,安天AVL移动安全团队持续检测到一类基于Android移动平台的间谍类病毒,病毒样本大多伪装成名为“最高人民检察院”的应用。经过反编译逆向分析以及长期的跟踪调查,我们判断这可能是一起有组织的电信诈骗犯罪活动。

   2014年9月至今,某诈骗组织持续以涉嫌犯罪为由恐吓受害者,并进行电信诈骗活动。整个诈骗流程大致如下:攻击者首先向受害者的手机发送含恶意应用下载链接的短信,这一步可能是借由伪基站群发短信实现的;攻击者通常以获取“案件号”、“单位代号”、“电子凭证”的短信诱骗受害者点击链接,下载安装恶意程序,最终获取受害者手机的root权限;恶意程序被成功安装到受害者手机后,诈骗者会主动打电话给受害者,并声称将电话转接至检察院确认,但现在大部分人都对这类电信诈骗的防范意识较高,会拒绝对方的电话转接;此时,诈骗分子会主动要求受害者挂断电话,并亲自拨打110确认事件的真伪。当受害者将电话拨出后,安装在受害人手机中的恶意程序将原本拨打给110的电话,劫持之后转为拨打诈骗者的号码,从而让受害者信以为真,完全落入圈套。

   通过AVL移动互联网恶意程序检测平台捕获数据可以看到,该类型病毒样本首次出现在2014年9月。在此后两年时间里,又先后捕获到4类包结构各不相同的病毒新变种样本180余个。这类病毒的感染者主要分布于我国浙江省和广东省,福建、湖北、江西等地也有感染案例。

   在该病毒不断进化的进程中,攻击者先后注册了多个C&C服务器,相关IP地址16个,服务器分布在香港、新加坡、韩国、日本、美国等国家和地区。由此我们可以看到攻击者通过不断变换地点等手段来逃避侦查。

一、恶意行为详细分析

恶意行为实现流程示意图

01病毒运行流程示意图

伪造电子凭证

   当恶意应用被成功安装并运行后,受害者手机会显示一个伪造的最高人民检察院发布的电子凭证,恐吓受害者因涉嫌犯罪,而需要接受调查。此时,防范意识薄弱的受害者可能会直接相信对方。即便其他受害者具备足够的防范意识,诈骗者依然有办法逼其就范。那就是劫持受害者手机的报警电话,然后明确告诉受害者可以自行拨打110确认。

   以下是伪造的最高人民检察院发布的电子凭证样例。从以下三张电子凭证样例,我们可以看到检察长的签名都是根据现实情况不断更新,说明攻击者最大程度消除受害者对此电子凭证的怀疑,提高电信诈骗的成功率。
02病毒动态运行界面

劫持报警电话

03代码分析1

   从以上代码截图可以看到,即使受害者是自行拨打的报警电话,电话那头依然是诈骗者,从而使得受害者信以为真,最终落入攻击者圈套,后果不堪设想。
   上图中诈骗分子劫持的目标号码如下:
15_副本
   其中“021110”并非源码中显示的湖北省公安厅,而是上海市公安局。

窃取受害者隐私数据

   作为整个电信诈骗链条上的重要一环,该病毒本质是一款间谍件。其功能不仅是显示检察院电子凭证以恐吓欺骗受害者,而且在后台窃取用户隐私数据并上传至指定恶意服务器,给受害者的个人利益带来更大损害。

   该病毒会开机自动运行,运行后自动生成用于显示电子凭证的activity组件,同时在后台启动用于窃取用户隐私数据的service组件。

   该组件service组件首先创建一个名为phoneConfig.db的数据库文件并将其初始化。该数据库主要记录呼出会话和当前配置信息两项数据,其在库中的索引分别为“phoneCall”和“config”。当数据库数据需要更新时,程序会删除旧表并重新创建和初始化数据库。该数据库可以在/data/data对应应用包目录下找到。具体的数据库表内容如下图所示。
04数据库信息

   当然,这远不是该间谍应用要盗取的全部隐私数据。接下来,它会使出浑身解数获取受害者设备上的各类数据,并将它们写入JSON保存起来。
   通过分析反编译代码,我们总结该病毒意图盗取的数据种类如表1所示。
11_副本

上传受害者隐私数据

   获取到受害者的隐私数据后,下一步攻击者会通过联网将其上传至服务器。这一部分主要是在应用/lib/armeabi文件目录下的libjpomelo.so动态库文件中实现的。
   该间谍件通过与远程服务器建立HTTP连接完成隐私数据上传的行为。具体过程如下图所示。
05代码分析2
06代码分析3
   至此,隐私数据上传完成,受害者手机隐私数据完全掌握在攻击者手中。

二、病毒变种进化历史

   病毒变种进化历史时间轴:
时间轴_副本

第一阶段:萌芽期(2014.9 ~ 2014.11)

   在电信诈骗的萌芽期同时活跃着两种类型的病毒变种,它们都具有劫持电话号码以及窃取用户个人数据的行为。其区别在于攻击受害用户设备后获取隐私数据的手段不同。
   第一种类型:
   以样本7692A28896181845219DB5089CFBEC4D为例,该变种主要窃取用户的短信数据。它会设置接收器专门用于监听收到新消息的事件,一旦有来信则立即获取其发信方电话号码以及短信内容,并转发至指定号码。
   第二种类型:
   以样本4AD7843644D8731F51A8AC2F24A45CB4为例,该变种的窃取对象不再局限于短信,而是拓展至被攻击设备的固件信息、通讯运营商信息等。另外该变种还会检视设备的响铃模式并私自将其调为静音。
   就窃取受害用户隐私数据的手段以及窃取的数据种类而言,第二类变种是后续阶段其他病毒变种的元祖。
   综合这一阶段的病毒样本,我们发现,不论采用哪种方式获取来自受攻击设备的信息,其对抗性都较弱,对一些容易暴露自己的数据基本没有保护。比如我们从中挖掘到的一些短信转发地址以及远程服务器IP地址和端口号等信息,都是直接以明文形式硬编码在程序中的,很容易被反编译逆向分析,也难逃手机安全软件的查杀。

第二阶段:平稳期(2015.3 ~ 2015.8)

   该阶段是诈骗的平稳期,或者也可以称为低潮期。这一阶段的攻击表现得不是很活跃。可以理解为诈骗分子的攻击欲望有所衰减,或是蓄势发起新一轮攻击。总体而言,病毒量明显减少。
   至于阶段样本中存在的一些新变种,多是在萌芽期第二种类型病毒变种的基础上进行结构形态上的改变,同时采用了代码混淆技术,做了初步的对抗。但其在具体功能上几乎没有发生任何改变。

第三阶段:一次活跃期(2015.9 ~ 2016.2)

   这一阶段与上一阶段有着明显的分界线。2015年9月1日,手机卡实名制的法规正式开始施行。手机号码与个人身份证绑定,这就意味着攻击者难以再通过短信转发的手段获取受害者的隐私数据,因为攻击者手机号的暴露极大地增加了攻击者被追踪到的风险。
   因此,2015年10月以后捕获到的病毒新变种中,短信转发用到的手机号码以及一些指定的短信内容不再直接出现于程序代码中,而是通过联网从远程服务器端下载并解析获取。
   从病毒功能上看,该阶段与上一阶段没有太大变化,仍是以劫持电话号码及窃取用户隐私数据为主。但是攻击范围在本阶段达到了前所未有的高峰。一方面,病毒的感染量激增,病毒样本层出不穷;另一方面,之前恶意服务器几乎都设置在香港,这一阶段陆续出现了韩国、新加坡、日本等新的地点。我们可以推测这是攻击者在为更大规模的电信诈骗做准备,同时更好地隐匿自身踪迹,逃避侦查。这次攻击高峰直至次年2月才逐渐平息。

第四阶段:二次活跃期(2016.11至今)

   第一次活跃期过后,诈骗犯罪活动又历经了半年多的平稳期。在这期间,病毒样本数量虽有明显减少,但仍可持续捕获。病毒样本功能未发生较大变化。
   直到今年11月上旬,该病毒攻击再次进入活跃期。从新一轮攻击中捕获到的样本来看,该病毒一部分沿用了上一阶段的变种,有些加入了新的对抗机制。另一部分则采用了新型变种,将窃取数据上传服务器的功能实现从Java层转移至SO动态链接库,攻击所需的资料更多是通过从远程服务器下载获取。攻击的危险性与不确定性都有所增强,同时也进一步增加了安全检测和逆向分析的难度。
   从本阶段的攻击规模来看,仅11月8日至13日不到一周的时间里,我们就捕获到了35个病毒样本。
   截至11月13日,该病毒样本日均捕获量近6个,诈骗活动仍在持续。
12_副本
13_副本

三、远程服务器IP溯源

   对远程服务器进行溯源分析,我们可以发现服务器大多分布在香港,并在后期扩散至韩国、日本、美国等国家和地区。通过将获取到的IP地址在WHOIS和VT等第三方数据源进行信息反查,得到如下表所示的结果。特别地,这些归属地只是诈骗分子利用的服务器所在地。
14_副本
(注:表中数据来自相关IP在whois.net及virustotal.com的查询结果)

四、总结

   通过对该病毒的详细分析,我们发现该病毒迄今已使用了6种不同形态的木马。除去最开始可能用作测试的一种,其它的按照结构、功能等指标大致可以分为四代。早期的木马基本不具备对抗行为,包括短信转发地址的电话号码和隐私数据上传的服务器IP等皆明文硬编码在程序中,较容易被分析追踪和查杀。到2015年9月1日,手机卡实名制正式开始实施,这意味着攻击者信息更容易被侦查。就在同年10月,病毒新变种开始采取混淆等对抗手段隐藏攻击者信息,短信发送地址及短信内容等数据也转而通过从服务器下载获取。到2016年11月,病毒将窃取数据上传服务器的功能实现部分从Java层转移至SO动态链接库,攻击所需的资料更多是从远程服务器下载获取,攻击的危险性与不确定性都有所增强,在一定程度上增加了安全监测和逆向分析的难度。综合来看,该电信诈骗持续的周期较长(持续2年以上),攻击手段不断变换。我们可以推断犯罪分子可能为混迹在港台地区的诈骗组织,具有高度的组织化,其诈骗行为极端恶劣,需要引起足够重视。
   另外,纵观至今的诈骗活动周期,高峰往往起始于每年年末(9~11月)并结束于次年年初(2月左右),说明年终岁末通常是电信诈骗的高发期。时值年关,广大手机用户务必当心,谨防受骗。

五、安全建议

   针对这类恶意应用, AVL移动反病毒引擎合作方产品已经实现全面查杀。安天移动安全团队提醒您:

  • 1.谨慎点击短信中附带的链接;
  • 2.增强主动防范意识,不要轻信此类电信诈骗信息。如需查证,请尽量采用多种渠道进行确认,比如使用其他手机拨打电话确认等;
  • 3.不要在任何场合随意泄露自身隐私信息,注重自身隐私保护;
  • 4.建议在手机中至少安装一款杀毒软件,同时保持定期扫描的习惯。

六、附录

相关样本hash摘录:

  • EFAF96F83DCD3AC63F721CFDDB0162D6
  • 4AD7843644D8731F51A8AC2F24A45CB4
  • 7692A28896181845219DB5089CFBEC4D
  • 2B5A9689A5BA2783B93F46C6C03E37DC
  • 40E108817AB0975FDD6D51816F7C6023
  • 89136B665D0015421E589B648153A773
  • 0E5A0EE5148FA99FA85D531C9774F821
  • 1B48B05E7513CF22558140DEF141E77B
  • 8658FBDB50A60BB4C4C3DB06A61E5AAF
  • 9D72F6B4E72B0E38EBB88D7416B90703
  • FDF25B19CC2DC08D0423AE00CF3A8863
  • D3474DA378EBDF3802BD178706B43E3A
  • 304B4B3A3E942FDE957FB605B7422404
  • 0190E86CB1361E63429C2F5F247A37F5
  • F6E3AEB57638A1AF53C7EBB61DE99EBF
  • 3259557837EE78C7FBEE6B8A52B2079B
  • 787AFFD5B53376A80819CF21A7CF9157
  • AC76B96C47C96C067C29A81F8B97D469
  • 2FD63FBAD49778B36C394AF92D0BB84A
  • 08AB2FD06F12C5D58B159CDD8182FA20

   安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术和安全产品研发的公司。安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。   
   AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,这是亚洲安全厂商首次获此殊荣。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。         
   目前安天移动安全公司已与OPPO、VIVO、小米MIUI、阿里云YunOS、金立、步步高、努比亚、乐视、猎豹、LBE安全大师、安卓清理大师、AMC等国内外50多家知名厂商建立合作,为全球6亿终端用户保驾护航。

转载请注明来源:http://blog.avlsec.com/?p=4248

更多技术文章,请关注AVL Team官方微信号
AVL-team二维码

当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计

   “明修栈道,暗度陈仓”的典故许多人都听说过,该典故出自楚汉争霸时期,刘邦意图进入关中,需要攻下关中咽喉之地——陈仓。韩信献出一计:表面上浩浩荡荡地修复通往陈仓的栈道以迷惑陈仓守将,暗地里派兵从小道偷袭陈仓。最终刘邦采用此计一举夺取关中之地,为后续争霸天下铺路。

   通过表面的行动迷惑敌人,隐藏自己的攻击路线,暗地里实施真正的攻击,这一直是战争中的常用手法。如今这一手法却被恶意开发者学了去,在病毒中使用该手法迷惑感染用户,攻击用户手机于无形之中。

   近期,安天AVL移动安全和猎豹移动安全实验室捕获一种病毒程序” Camouflage”,该病毒正是利用暗度陈仓之计攻击用户手机:根据远程控制指令弹出锁屏界面,强制锁定用户手机屏幕,锁屏界面伪装成内存清理界面以迷惑用户;实际在在锁屏期间,该病毒会私自拨打扣费电话、发送扣费短信并删除通话、短信记录,在用户毫不知情的情况下使其承受资费损失。

   除此之外,该病毒还会联网下载恶意子包,利用子包联网获取多种root工具对用户手机提权,一旦提权成功立即删除并替换系统root工具,使自身成为手机中唯一具备root权限的应用。与此同时,该病毒通过联网获取相关推送数据,向用户手机推送广告,私自下载同类恶意应用并安装运行,严重影响用户手机使用体验。为防止自身被卸载,该病毒会监控手机中正在运行的应用包名,如果与指定杀毒软件的包名重合,则立即卸载该应用。

恶意程序运行流程图

1

病毒传播途径和感染数据

传播途径

   通过分析大量Camouflage病毒家族样本,我们发现该类病毒主要通过重打包成游戏类、休闲类应用进行传播,部分应用名称如下图所示。
0

用户感染数据

   在2016年10月1日至12月1日期间, 该病毒累计感染518,311次,其日均感染事件数如下图所示: 2

   统计该病毒的感染区域信息,我们发现感染情况最严重的是广东省,其次是四川省、北京市: 3

详细分析

推送广告和其他同类恶意应用

   该病毒运行时在本地解密url和网址后缀并拼接,以获取广告和其他恶意应用推送数据的下载地址。
4

   网址后缀及其对应功能如下表所示:
表1_副本

   广告数据:
5

   推送的应用数据:
6

   该病毒会不断获取推送信息和下载应用,并将这些文件保存在SD卡的指定目录下。
7

   在获取推送信息后,该病毒会定时以广告弹窗、通知栏提示、安装快捷方式和提示用户安装的方式进行广告推送。
8 9

   推送的应用被安装后会通过am命令启动:
10

联网下载恶意子包

   该病毒在推送广告和恶意应用的同时,本地解密URL后联网获取子包相关的数据和下载地址。   
   联网获取的恶意数据:
11   
   解密后数据如下:
12   
   该病毒私自下载恶意子包文件并将其保存到SD卡/.w/目录下(手机中文件夹名前带“.”的为隐藏文件夹,可以使用shell命令“ls -a”查看),文件名称为119.tmp,解密后即得到子包文件,最后利用反射调用子包的MS服务运行。
13 14

私自root提权

   恶意子包运行时会联网获取多种root方案和root工具的下载地址并下载,私自对用户手机进行提权。攻击者通过尝试多种root方案和工具最终达到root用户手机的恶意目的。   

   联网获取的恶意数据:
15

   解密后的数据为:
16

   下载的文件说明:
表2_副本

   Testcomn.zip文件解压后里面包含多个文件,文件名与功能如下: 表3_副本

替换系统文件

   恶意子包在成功提权后,通过postsh脚本命令删除系统原本的权限管理文件,并将自己的权限管理文件以及启动脚本推送到指定目录下,导致用户无法获取root权限。   
   删除系统原本的权限管理文件:
17   
   复制手机自身的权限管理文件到系统目录中:
18   
   在启动脚本中以守护进程的形式启动指定目录下的提权文件:
19   
   在获取Root权限后,该病毒还会将子包推送到系统目录下,导致用户即使成功卸载该病毒主程序,也会继续受到该病毒恶意行为的影响。
20 21

私自扣费

   恶意子包在运行时,该病毒会联网获取扣费指令信息并下载锁屏图片,强制置顶锁屏动图对用户手机进行锁屏,在锁屏时后台私自执行拨打扣费电话、发送扣费短信等恶意行为。在发送短信和拨打电话后,该病毒会将相关短信、通话记录删除,使用户完全无法感知资费消耗。   

   联网获取的扣费指令信息:
22   

   对扣费指令信息进行解密后,解密信息如下:
23   

   该病毒伪装成清理内存的界面,对用户手机进行锁屏:
24_副本_副本   

   对用户手机锁屏后,该病毒会私自在后台发送扣费短信:
25_副本   

   监听用户接收的回执短信并删除相关的短信记录:
26   
  
   用户手机被锁屏后私自拨打扣费的sp号码:
27_副本 28_副本   

   监听通话状态,解锁屏幕时结束通话并删除通话记录: 29_副本

卸载指定程序和杀毒软件

   恶意子包在运行时会根据指定包名列表–UPKEY中的包名与正在运行的程序对比,若包名相同则将其禁用,后续通过命令直接卸载该应用。包名列表中包含了与该病毒相似的恶意应用,联想到该病毒下载并安装其他恶意应用的行为,我们合理推测这部分恶意应用就是该病毒下载的应用,在完成推广行为或恶意行为之后进行卸载。此外我们在该病毒的代码中也发现了许多知名杀软的包名,该病毒一旦检测到这些杀毒软件正在运行,会立即禁用并卸载,以逃避杀毒软件的查杀。

   UPKEY中的包名列表:
30_副本

   病毒代码中的包名列表:
31 32

下载相关文件和数据

   在执行恶意行为的过程中,该恶意程序会下载大量文件和数据,以达到执行恶意行为的目的。
33_副本

总结

   Camouflage病毒通过重打包游戏类、休闲类应用进行传播,从感染情况来看,这种伪装手段带来了惊人的传播量。通过分析发现,该病毒主程序本身代码恶意性不强,但是在进入感染手机后通过解密、拼接URL的形式下载恶意子包、推广数据以执行其主要恶意攻击行为,行为方式非常隐蔽。另外,该病毒以监控运行程序的方式对手机中的杀毒软件进行卸载,以此逃脱杀毒软件的查杀。

   为成功root手机,该病毒会下载多种root方案和工具对手机进行提权,并替换系统的提权文件,使得自身成为手机中唯一具有root权限的应用,在一定程度上避免自身被卸载,同时为后续的恶意扣费的行为做好铺垫。

   该病毒在执行私自恶意扣费行为时,通过置顶一个内存清理的页面来欺骗用户,并在扣费完成之后,删除对应的短信、电话记录,使用户在毫无感知的情况下蒙受较大的资费损耗。

安全建议

   针对Camouflage系列病毒,AVL移动反病毒引擎合作方产品和猎豹专杀工具已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:

  • 请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;
  • 当发现手机中突然出现不知来源广告或页面时,请立即下载安全软件进行查杀;
  • 建议使用手机安全软件,并保持定期扫描的良好习惯。

   安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术和安全产品研发的公司。安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。   
   AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,这是亚洲安全厂商首次获此殊荣。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。         
   目前安天移动安全公司已与OPPO、VIVO、小米MIUI、阿里云YunOS、金立、步步高、努比亚、乐视、猎豹、LBE安全大师、安卓清理大师、AMC等国内外50多家知名厂商建立合作,为全球6亿终端用户保驾护航。

   转载请注明来源:http://blog.avlsec.com/?p=4179

   更多技术文章,请关注AVL Team官方微信号 AVL-team二维码