Monthly Archives: 六月 2017

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”

  伪装成流行应用是手机病毒的常见手段,对于那些没有实际功能的病毒,细心的用户可能很快会发现自己安装了仿冒的应用,但是这次病毒使用了新的招数……

  近期猎豹安全实验室和安天移动安全团队捕获了一款通过伪装成流行应用进入用户手机的病毒——HideIcon病毒,该病毒为了让自己伪装得更逼真,运行后先隐藏自身图标,后续以应用更新的方式提示用户下载所伪装的正版应用。在用户安装正版应用、放松警惕的同时,实际病毒已经开始在后台悄悄运行。在成功获取用户信任之后,病毒会进行推送各种广告、下载其他恶意插件的行为,长期消耗用户的流量资费,对用户的个人隐私造成严重威胁。

一、感染情况分析

  根据猎豹安全实验室提供的数据统计分析, HideIcon病毒在全球感染的地域较为广泛,南亚、东南亚、欧洲、北美洲、南美洲均有分布。感染量Top10的国家依次是印度、印尼、俄罗斯、菲律宾、墨西哥、美国、伊朗、加拿大、马来西亚、泰国,其中南亚及东南亚国家有一半之多,且占据感染量第一、二位。可见南亚及东南亚地区是HideIcon病毒感染的重灾区。001

  此外,根据数据统计可知,在2017.5.1至5.24期间,HideIcon病毒的感染量整体呈现平稳增长趋势,从五月初的140万左右的感染量增长至五月底的150万左右的感染量,尤其是在五月下旬,出现了一次感染量增长的“小高峰”,应当引起一定的警惕。2

  根据猎豹安全实验室捕获的病毒样本统计,目前有包括Pokemon Go,WhatsApp在内的6款流行应用被该款病毒伪装,对应的图标和应用名称如下:003

二、恶意行为分析

2.1 恶意行为流程图

4

2.2 恶意行为详细分析

Step1:上传设备信息,隐藏图标

  HideIcon病毒启动后首先上传Android_ID、IMEI、MAC、已安装应用列表等移动设备隐私信息,其目标url为http://vinfo.mplugin.info/veco-service/v2。 05

  HideIcon病毒上传的加密隐私信息内容如下:06

  将上述加密信息解密后信息标签和内容如下,其中包含了安卓版本信息、MAC地址等等。07

  在上传设备隐私信息后,进行隐藏图标的操作:08

Step2:诱导用户安装所伪装的正版应用

  首先,HideIcon病毒会在后台开启服务: 09

  其次,将assets下的正版应用文件(下图展示的为9APPs url)复制到SD卡并且开启一个新线程,并以应用更新的名义不断提示并要求用户安装正版应用。10111213

  在用户安装正版应用并使用正常的时候,往往会放松警惕,而这时HideIcon病毒却一直在后台运行并陆续进行着各种恶意行为。

Step3:联网获取远程指令,实施远程控制

  HideIcon病毒监听到正版应用安装完成后,就开始正式实施恶意行为。其主要手段是通过联网从指定链接中获取远程指令,并根据返回值进行一系列的恶意行为(指定链接:http://vervice.mplugin.info/veco-service/v2)。返回值和对应的恶意行为如下所示:14

  获取指令并根据指令进行操作:15

  显示广告:16

  下载插件:1718

  之后不断请求安装插件:1920

  下载的插件和病毒程序本身的行为非常相似,都包含联网获取指令代码,后续执行广告和激活设备管理器等行为。插件伪装成Google Service,内置多种广告sdk:021 022

  激活设备管理器的代码如下所示,是否激活也是通过url返回值控制:024024

  url返回值中包含一些社交应用包名,打开这些社交软件时会弹出激活设备管理器:025

  设备管理器界面显示的信息也是从url返回值中获得的:026027

Step4:推送广告

  HideIcon病毒会不断查询获取当前的栈顶activity:028

  然后判断当前栈顶activity是否属于系统应用或远控指令返回的知名社交应用对象,如果不是则加载广告:029030031

  加载的广告将以悬浮窗或者全屏的形式置顶。032

三、溯源分析

  经分析,该病毒相关的一系列URL对应的ip地址为越南和新加坡。此外根据病毒应用签名及时间,可以猜测作者是越南人,位于河内,姓张。033

  同时,根据签名信息和代码结构,一些关联样本也被找到,其hash如下:034

  以上样本从2015年4月开始出现,初期的样本主要是伪装为系统应用并展示广告,但是随着时间的推移,该家族的样本也进行了一些技术升级,例如获取设备管理器、引导用户安装正版应用、远程下载插件,同时根据上传信息来投放广告等行为,进一步加大了杀毒软件以及用户对该病毒的判别难度,也足以看出HideIcon病毒有相对较长的传播周期。同时,其相关的ip主要是在越南和新加坡,结合前文的感染国家分布,可以推测该病毒的目标人群主要在东南亚地区。

四、安全建议

  针对HideIcon病毒,猎豹安全大师和集成安天AVL移动反病毒引擎的安全产品已经实现全面查杀。猎豹安全实验室和安天移动安全团队提醒您:

  1、建议从正规应用市场下载应用,不要从不知名网站、论坛、应用市场等非正规渠道下载应用;   2、培养良好的安全意识,使用猎豹安全大师或集成了安天AVL引擎的安全产品进行病毒检测,以更好识别、抵御恶意应用;   3、当手机中莫名出现弹窗广告等异常情况时,请及时使用安全产品扫描手机并对异常软件进行卸载处理。

附录

035

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。   

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。   

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与高通、OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过8亿终端用户保驾护航。   

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4728

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

  

下个软件就能免费充Q币?知道真相的我眼泪掉下来…

  王者荣耀作为时下热门手游火遍了大江南北,朋友见面来一局,不可避免的要“开黑”、“上钻石”,而“开黑”前再搭配一款“狂拽酷炫”的英雄皮肤,一身精致look(装扮)外加属性加成在手,打怪升级自然嗖嗖的!

  然而游戏中英雄皮肤的价格并不便宜,对于许多学生玩家来说更是一笔不小的花销。当你为皮肤的价格烦恼时,收到消息说可以免费刷Q币,你会不会动心呢?1-1

消息截图

手把手“刷币”教程,“500Q币”如探囊取物

  上图中,朋友的消息里附带了免费刷Q币的直播地址,页面中包含一段视频和两个应用下载链接。2-2

“刷币”教程页面

  视频详细介绍了如何下载“腾讯内部充值”应用并通过推广链接赚取积分来刷Q币, 整个流程非常简单,如下所示:3

“刷币”流程

  视频中演示者在按照上述流程进行操作后,短短几分钟内通过这个应用刷了500个Q币,按这个速度购买王者荣耀全皮肤指日可待! 4_副本

“刷币”视频教程演示截图

你以为Q币这就到手了?骗局才刚刚开始…

  用户如果按照视频教程操作,下载应用并在各大社交群推广“免费充Q币”的消息,会发现怎么也无法如视频所演示的那样成功充值Q币。难道视频里的“童话故事”都是骗人的?当用户正因此而苦恼时,可能会注意到应用界面左下角出现了一个陌生按钮–“购买VIP版”,此时恶意开发者开始露出了獠牙…… 5-5

含有“购买VIP版”按钮的“腾讯内部充值“应用界面

  点击“购买VIP版”按钮后,出现的界面中包含一个VIP购买教程视频和两个支付选项,视频中向用户详细介绍了购买VIP的原因以及购买VIP的方式,当点击两个支付选项点击后,页面跳转到对应的转账界面。

  然而我们对该应用的代码进行分析发现,该应用完全没有充值Q币的功能。即使用户扫码转账购买了VIP版,也无法充值Q币,该应用属于一个诈骗病毒!

  至此,恶意开发者经过一系列铺排:前期通过所谓的“刷币”视频吸引用户下载应用,后续进一步引导用户付费购买VIP版,最终达到了诈骗钱财的目的。6_副本

VIP购买界面及转账界面

低龄学生群体成为此类病毒的主要目标

  值得一提的是,在VIP购买教程中演示者详细介绍了如何进行扫码支付,并提示用户可以通过亲友的手机扫码代付,可以看出该病毒的攻击目标主要是缺乏一定辨别力和支付能力的中小学生。

  通过该应用相关特征我们找到同类的其他应用,其中部分应用名称及图标如下。我们发现此类诈骗病毒往往伪装成热门游戏工具,借用免费刷Q币、游戏插件的“噱头”欺骗用户进行相关支付,并且通过诱导用户在社交群中推广传播诈骗信息从而进一步扩大诈骗范围。而低龄学生群体由于其年纪尚小、缺乏自制力和辨别力,成为此类病毒的主要攻击目标。7

部分同类诈骗应用

总结

  该病毒以积分的名义诱导用户在社交群中传播恶意链接,手段极其狡猾。此外,整个下载、支付过程都有视频教程“手把手”指导,即使对于不熟悉手机支付操作的低龄学生群体也能完成购买操作,“服务”可谓十分周到。

  通过免费充Q币诱导用户下载、付费的诈骗手段早在PC时代就司空见惯,许多用户对这类诈骗手段产生了“抗体”,但是对于部分低龄学生群体来说,出于对热门游戏和道具的热衷,此类诈骗病毒依然具有较强的“杀伤力”。

安全建议

  针对以上诈骗病毒,集成AVL移动反病毒引擎的MIUI安全中心已经实现全面查杀。安天AVL移动安全团队和MIUI安全中心提醒您:

1、尽量从正规应用市场下载应用,不要在不知名网站、论坛、应用市场下载应用;
2、培养良好的安全意识,定期对手机进行安全扫描;
3、低龄学生家长需要加强孩子的安全教育和防骗意识,防止孩子陷入诈骗陷阱;
4、建议家长在手机支付应用中设置应用锁,防止小孩在借用手机的过程中贸然进行支付操作,造成财产损失。

附录

MD5:
2FA9B50CC95AD9C5FFE52DF59B8027E8
6FA4271417C8295B7344FCC185D14193
B4AB4B1C1672653F0204C01C5A7A19C5
CE5DA0B833E44E35E1B8860A3C789D79
03D88DA48E6A5A0A5E245EAD0E890091
BC4450B89B3DC2785BEB15F4E50E920E
3DA6A48270CF514A7621BB7A08EF3D84

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。   

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。   

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与高通、OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过8亿终端用户保驾护航。   

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4685

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

  

安天移动安全关于“Dvmap”安卓恶意软件分析报告

一、分析背景

  2017年6月8日下午,国际知名反病毒厂商卡巴斯基(Kaspersky)发布名为《Dvmap: the first Android malware with code injection》(《Dvmap:第一种具备代码注入能力的安卓恶意软件》)的分析报告。由于该报告所涉及恶意样本为第一种对Android系统平台运行库进行恶意代码注入的恶意软件,且在报告中提及该恶意软件所包含的“.root_sh”脚本文件中存在中文注释,这引起安天移动安全分析团队高度重视,当即组织专业人员对该报告中所涉及恶意软件样本进行紧急分析。

二、分析内容

  基于国际领先的恶意样本静态分析与动态养殖技术能力,以及强大的移动安全大数据能力,安天移动安全团队对卡巴斯基原报告的解读以及此次恶意软件时间的分析分成移动恶意样本分析与移动威胁情报分析两个方向同时进行。

2.1 移动恶意样本分析

2.1.1 恶意样本植入基本信息分析

1

2.1.2 恶意样本分析

  恶意样本文件com.colourblock.flood.apk伪装为一个小游戏,运行界面如下图:2

  该apk本身并不显性表现恶意代码与行为,但会根据植入终端系统版本、cpu类型等信息解密其内嵌的恶意文件“Game*.res”。其代码如下: 3

  这批内嵌恶意文件作用如下:4

  代码解密后会在/data/data/com.colourblock.flood/TestCache/路径释放恶意程序 ,其代码如下:少的那张_副本

  最终释放的文件如下图(32位与64位文件结构基本一致):5-15-2

  解密后分析恶意文件信息汇总如下:6

  中间文件汇总信息如下表: 7

  com.qualcmm.timeservices.apk为最终被植入的远控恶意载荷apk,从命名上分析,该恶意载荷试图伪装为高通的时间服务程序,其主要作用为与远控服务器通信并执行远控任务。

  通信服务器url通过拼接而成,访问url如下: http://d3pritf0m3bku5.cloudfront.net/android/event.php?id=%s&xc=%s&rtsid=%s&v=2&type=2&tm=%d TimeServices与服务器通信会执行远控任务、下载文件并执行,但服务器已失活无法获取到下载的文件。8

  与服务器通信后在/data/data/com.qualcmm.timeservices/shared_prefs/TaskList.xml生成任务列表。

2.1.2.1 提权文件部分分析

  “.root.sh”脚本用于执行提权,并最终植入远控恶意子包载荷,其中文部分主要位于脚本开头的注释,并不直接提供恶意软件功能。9

  脚本最后完成安装后,进一步执行恶意远控子包com.qualcmm.timeservices ,代码如下图: 10

  另外,还应注意到在恶意样本的多个bin文件里均出现“kinguser.apk”信息,可以推测该恶意样本使用了中国开发者所开发的kingroot工具的exp程序用于提权。信息示例如下图所示:11

2.1.2.2 恶意载荷部分分析

  入口程序start,获取设备信息,会根据不同系统版本选择植入恶意代码到系统/system/lib/libandroid_runtime.so的nativeForkAndSpecialize方法(Android>=5.0),或/system/lib/libdvm.so的_Z30dvmHeapSourceStartupBeforeForkv方法(Android>=4.4),均为与Dalvik和ART运行时环境相关的运行库。1213

  同时会用myip替换原始的/system/bin/ip,并替换/system/build.pro文件。 14

  要注意到,myip程序无原始ip文件功能,其作用主要用于修改恶意程序的策略等信息,设置com.qualcmm.timeservices.apk应用为设备管理器。1516

  另外,还发现该恶意代码开发者有一定的反侦察自我保护能力,对恶意样本实施了部分保护措施,如隐匿apk生成时间, 在生成apk时修改系统本地时间,导致解包apk文件获取到的生成时间为1979年。17

但通过解压toy这个gzip包,仍然可以获取到postroot.sh的真实制作时间为2017/4/18,进而为后续的移动威胁情报分析提供必要的真实数据依据。18

2.2 移动威胁情报分析

  根据卡巴斯基原报告所述,该恶意软件伪装成名为“colourblock”的解密游戏于Google Play进行发布下载。19

恶意软件Google Play发布页面

  由于该恶意软件colourblock自3月下旬起,采用了在同一天内交替上传该软件的恶意版本与无害版本、借以绕过Google Play对其进行安全性检查的方式,导致其一直利用Google Play市场进行分发。借由此种方法多次上传其恶意版本及对其恶意载荷的加密处理,自3月下旬起至被卡巴斯基公司举报下架为止,该恶意软件已被累积下载超过50000次。

2.2.1 恶意样本数量种类分析

  安天移动安全团队利用其自有的AVL Insight 2.0移动威胁情报平台,通过移动安全大数据对该恶意软件进行软件包名、开发者证书及样本hash值等多维度查询分析,发现该恶意软件样本版本与种类远大于卡巴斯基原报告中所提供的2种,而多达49种之多,即说明该恶意软件交替上传恶意与无害版本至Google Play的行为时间跨度更大、频率更高。20

部分恶意软件样本hash值

2.2.2 恶意样本植入终端数据分析

  根据AVL Insight 2.0终端安全检测数据分析,该恶意软件自其开发者证书生效当日即开始传播,并在较集中时间内完成早期第一次植入活动。21

部分恶意样本早期植入终端数据

  如上图所示,可以看出在AVL Insight移动威胁情报数据来源范围内,该恶意样本的早期第一次植入终端所在地域主要分布于印度尼西亚与印度。

  而从该恶意软件初次上传到Google Play起截至今日,AVL Insight移动威胁情报平台所捕获被成功植入恶意样本的965台终端中,分布于印度尼西亚与印度的数量分别为220台与128台,占比分别为22.79%与13.26%,排第三的为加拿大,其被植入恶意样本的终端数量仅为48台,印度尼西亚区域内被植入恶意样本的终端数量在统计范围中占明显优势。

2.2.3 恶意样本载荷植入终端数据分析

  根据对4种恶意样本的抽样静态与动态分析(分析报告见上节),发现该恶意样本的加密部分内含伪装成高通应用的远程控制程序com.qualcmm.timeservices,对该远程控制程序植入终端数据分析结果如下:22

载荷植入终端早期数据

  如上图所示,恶意样本载荷的样本数据初次采集时间为4月19日,植入终端所在位置为德国,但经深度分析后发现该样本运行环境为Remix OS For PC安卓模拟器,且其实际连入互联网方式为使用安全公司Avira的德国VPN服务器,因此具备较大的病毒测试设备嫌疑。由此可见,载荷植入终端早期数据中的第一台终端所在位置,有较大几率处于印度尼西亚。

  同样对该载荷初次被捕获起截至今日的植入终端数据进行整体分析,AVL Insight移动威胁情报平台所捕获被成功植入恶意样本载荷的221台移动终端中,分布于印度尼西亚的数量为50台,印度的数量为20台排名第二,分别占22.62%与9.04%,印度尼西亚区域内被植入恶意载荷的比例显著最高。

2.2.4 威胁情报TTP分析

  根据对恶意样本colourblock的Google Play市场缓存及全球其他分发来源的页面留存信息,得到Retgumhoap Kanumep为该恶意样本声明的作者姓名,但通过全网搜索与大数据碰撞比对,并不存在以该姓名发布的其他软件与该姓名相关的任何网络信息。

  通过对该姓名Retgumhoap Kanumep的解读分析,发现将其姓“Kanumep”各字母从右至左逆序排列则为Pemunak,即印度尼西亚语“软件”之意:23

Google翻译截图

  而对其名字“Retgumhoap”进行分词为“Retg-umhoap”,由于“retg-”前缀为“return(返回)”之意,故尝试将“umhoap”字母排列逆时针转动180度,得到如下结果:24

  对单词“deoywn”进行全网搜索可知,曾有机器人程序使用邮箱 bkueunclpa@deoywn.com在大量互联网站留言板页面自动发布留言:25

使用可疑邮箱填写的留言板搜索结果

  对该邮箱ID “bkueunclpa”进行语言识别,得知其为印度尼西亚方言:26

Google翻译截图

  根据上节所述,恶意样本载荷向位于亚马逊云的页面接口回传数据,该页面接口(已被关闭)如下: http://d3pritf0m3bku5.cloudfront.net/android/event.php?tc=%s&rc=%s&xc=%s&rtsid=%s&v=2&type=1&tm=%d 根据域名“d3pritf0m3bku5”分析,即“de pritfomebkus”,尝试用Google翻译识别其语种,仍为印度尼西亚方言:27

Google翻译截图

三、分析结论

  根据上节分析内容,可以初步认为在卡巴斯基原分析报告中专门提及的中文代码注释问题,应只是该恶意软件编写者直接使用了中国开发者编写的Kingroot脚本,而非直接与中国恶意软件开发者产生明显联系。

  而通过恶意样本及开发者信息的语言特征判断,该恶意软件有较大几率与印度尼西亚开发者存在直接关系;另外,由于该恶意软件并没有在任何社交网站进行推广的网络记录,仅通过应用市场分发,因此其早期推广与分发行为,较大几率由恶意软件开发者就近在自身网络社交范围内通过其他手段进行,结合该恶意软件在早期植入的移动终端地域分布情况和整体总量植入移动终端地域分布情况,可以认为印度尼西亚有较大可能是该恶意软件的开发者所在地和主要受害者集中地域。

  需要明确指出的是,由于远控服务器已被关停,恶意样本载荷不存在明显网络行为,开发者自我保护意识极强,以上现状都成为对恶意软件开发者溯源问题上的障碍,需要随着新的情报数据与样本信息的不断完善才能得到较为准确的结论。

  但无论如何,这种在安卓平台上第一次出现的针对系统运行库进行恶意代码注入的恶意样本攻击方式,都值得高度重视。相信在可见的将来,会有更多利用类似系统漏洞进行木马植入的移动恶意样本出现,需要高度警惕和预防。

关于安天移动安全

  安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。   

  安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside移动反病毒引擎曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。   

  安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与高通、OPPO、VIVO、小米、魅族、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外近百家知名厂商建立合作,为全球超过8亿终端用户保驾护航。   

  更多信息详见公司官网:www.avlsec.com

  转载请注明来源:http://blog.avlsec.com/?p=4643

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码