Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

4月初,Trustlook安全研究人員在使用App Insight對國內某商店進行常規(guī)審核時,截獲了一個名為“換機精靈”的樣本,該應用作為一款換機工具,實則為惡意刷量木馬,截止我們發(fā)現樣本的當日,該應用在國內各大軟件市場擁有高達上億次下載,以下為樣本的存檔信息:

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

?

該惡意軟件具備極高的威脅:

●具備遠程控制的安裝任意應用/插件并執(zhí)行的后門;

●利用沙盤技術并主動檢測各類殺毒軟件逃避檢測;

●腳本模擬點擊、惡意創(chuàng)建桌面快捷方式等;

●申請大量權限,收集設備隱私數據并傳輸到ky.5rob.com和au.goyihu.com等;

●惡意刷量,發(fā)送大量網絡請求,消耗網絡資源

該應用包含了4個靜態(tài)庫以及其作用分別為:

●Libiohook.so

Virtual App核心庫,包含SubstrateHook框架,該庫暴露了大量接口給jni層用于運行時hook。

●libHuanJi.so

SSDP協議庫,用于wlan局域網查找發(fā)現設備

●Libjpush174.so

極光推送

●libTmsdk-2.0.6-mfr.so

騰訊御安全sdk

此外該應用在Android Manifest中不正常的申請了大量的權限:

包括聯系人、讀寫收發(fā)短息、通話記錄、拍照、錄音、位置、賬號、日歷、儲存、安裝列表等。

盡管換機類應用需要大量的系統(tǒng)權限,但有些權限的申請實屬勉強,并存在一定的安全威脅,實際上這些權限的目的是為了保障沙盤中的惡意應用能夠順利運行。

該應用運行時,用戶并不會察覺到應用有明顯的惡意行為,但通過流量監(jiān)控我們會發(fā)現幾個比較有意思的網絡行為:

http://ky.5rob.com/active/security/

通過該鏈接,會從服務器獲取主流殺毒軟件的列表:

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

這些請求返回了預安裝app列表:

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

通過返回數據,我們截獲了這些應用:

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

但是這些安裝包被下載之后,并沒有調用安卓系統(tǒng)自帶的包安裝管理器詢問用戶是否進行安裝,那么這些應用是怎么被安裝的呢?經過逆向工具對函數簽名的還原,我們鑒別出了該應用使用了APP插件化框架——VirtualApp,也正是libhuanji.so所對應的java層代碼,通過InstallPackage函數,上述的惡意軟件將被靜默安裝到應用沙盤中并執(zhí)行,而這一切用戶卻渾然不知。

我們可以發(fā)現它根據服務器返回的參數security_check的配置,預先檢測了列表中的殺毒軟件是否被安裝,如果發(fā)現了殺毒軟件便不會安裝惡意插件,這極大的提高了自身的存活率。

這些惡意應用在沙盤中運行了以后,開始頻繁的進行網絡請求,以下為部分請求:

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

此外,我們在代碼中發(fā)現了更多隱藏的惡意代碼:

如果服務器下發(fā)了模擬操作的腳本,在com.hj.scripter.execute.a中,會模擬操作沙盤中的應用:

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

并且,在特定的條件下,使用一些功能,App將不經用戶同意,私自下載第三方APP并安裝在沙盤中,在用戶的桌面上創(chuàng)建快捷方式。

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

其實,這已經不是換機精靈第一次被人發(fā)現有惡意行為,傳信官網曾于2018年4月就已經發(fā)布過聲明:

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

該聲明聲稱打包的sdk并非自己編寫,未來將嚴格管控這些問題,但事實上真的如其所說嗎?為何相似的惡意行為不到一年又卷土重來?

我們接下來對“換機精靈“預安裝app列表中下載的三款惡意插件進行分析,找出“第三方sdk”的幕后黑手。

通過分析發(fā)現,com.cx.photo2與com.cx.photo6基本為同一APP,代碼相似度極高,在MainReceiver中,此APP啟動時便會檢查安全軟件,如果用戶未安裝相關的安全軟件,便開始周期執(zhí)行惡意功能并啟動InvisibleService2服務。

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

在InvisibleService2 onCreate中,一個不可見的透明窗口被創(chuàng)建,覆蓋在所有應用的最上層,系統(tǒng)任務欄的下層,并創(chuàng)建了一個webview用于加載網頁。

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

這樣不尋常的創(chuàng)建方式并不會被用戶察覺,在用戶使用app時,所有的屏幕觸摸,滑動事件會同時響應到隱藏的webview上,模擬成用戶對webview網頁中的操作,這樣的目的是,通過真實的用戶網頁瀏覽行為,欺騙廣告運營商的流量統(tǒng)計反作弊算法,來變相進行刷量的目的。

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

然后該應用發(fā)送請求到:

http://d.bjsdknet.com/index.php?r=api/dynamic

獲取了更多的刷量插件:

"http://down.dd799aa.com//upload/sdk3/cjmob20190301.jar"

"http://down.dd799aa.com//upload/sdk2/SDK31dex20190220.jar"

"http://down.dd799aa.com/upload/plog/mfgz.jar"

"http://down.dd799aa.com//upload/sdk2/sdk04dex20190218.jar"

"http://down.dd799aa.com/upload/plog/N38de20181225.jar"

這些插件將被下載并運行,每輪任務執(zhí)行完成后又會去請求新的刷量sdk來下載執(zhí)行,我們對截獲的樣本進行了逆向分析,發(fā)現這些插件被用來進行廣告刷量,視頻刷量,電商產品推廣等不法牟利的行為。而這些行為都是在用戶不知情的情況下運行的。

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

通過搜索引擎的搜尋,我們發(fā)現早在幾年前傳信科技就已經因投放惡意軟件而多次被曝光過:

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

而另外一款被下載到沙盤中,名為pgy sdk就顯得更加專業(yè)了,我們沒能找到其與傳信科技的聯系,但通過對代碼的分析,發(fā)現大部分由pgy所下載的jar惡意插件包,均包含一個用于統(tǒng)計感染量的鏈接,網頁最終指向cnzz統(tǒng)計:

Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用

通過自增id的方式,在dandelionmob.com域名上,我們最終從其網站上找出200余個用于統(tǒng)計感染量的網址,這意味著惡意sdk插件包可能擁有上百個,該sdk不僅可以藏身于Virtual App沙盤中,一些正常應用中也包含該sdk的身影,而為了避免被查殺,開發(fā)者展現了自己嫻熟的免殺技巧,逃避殺毒軟件的掃描,字符串是靜態(tài)掃描的重要特征之一,對字符串的處理方式在樣本中也多種多樣,其中包括但是不限于各種字符串拆分,編碼,加密等混淆方式。而且,為了避免被使用固定的包名查殺,同樣的代碼在幾份sdk中使用了不同且無規(guī)律的包名。

今年4月份,Trustlook團隊向該應用商店通告了換機精靈的惡意行為,傳信科技在刷量行為敗露后,發(fā)布了新版的換機精靈應用,清除了相關代碼并關閉了服務器接口。他們對原有的惡意代碼進行刪減后,開發(fā)了一款新的基于VirtualApp多開工具—小隱大師,同時使用了360加固安全服務,盡管目前為止,我們暫未發(fā)現其有明確的惡意行為,但該應用保留了之前“換機精靈”的大部分代碼,為了掩人耳目,具備極高的安全風險。而且考慮到傳信科技之前的行為,他們極有可能在風頭過后又卷土重來。

VirtualApp作為一款應用沙盤框架,本身沒有惡意代碼,對于運行在沙盤中的應用,VirtualApp模擬成了Android系統(tǒng)的Framework層,提供了一個APP運行時所需要的環(huán)境,因此使用了沙盤技術的應用無法避免要申請大量的系統(tǒng)權限,同時也具備了Hook沙盤中的應用的能力,多被用于應用多開、正規(guī)應用修改/插件版、馬甲包等,因此可以修改原應用的正常執(zhí)行流程,盜取包括且不限于用戶的賬號密碼及各類隱私等。

Java語言作為一門動態(tài)語言,具備完善的代碼反射機制,Android平臺得益于這項技術,可以在線上期通過熱更新的方式修改現有的程序,在改善了用戶體驗的同時,也帶來了大量的安全隱患,惡意軟件作者同樣利用了這項技術威脅到了用戶的安全,通過類加載器DexClassLoader可以在運行時加載并解釋運行dex文件,達到隱藏惡意代碼的目的。即便用作熱更新,使用這項技術時,要對dex文件的完整性做校驗,被加以利用后,很可能會導致惡意代碼的注入。

本文通過逆向分析換機精靈樣本,卻無意中發(fā)現了一個龐大的黑產集團,在對相應的SDK使用統(tǒng)計的鏈接中,Trustlook團隊發(fā)現了將近300個惡意插件,實際上這還只是其冰山一角,這些插件都編寫的非常專業(yè),而且其中運用了各種免殺手段,由此可見黑產對怎樣使用多開工具已經有了很多年的積累。在上期的熱更新一文中,我們公布了最熱門的應用中熱更新的使用比例,而在這些應用中使用了Virtual App等多開工具也并不罕見,因此應用商店很難完全禁止這些技術在App中的使用,這就給予了黑產極大的便利,而普通的代碼審核也很難檢測到動態(tài)設定的惡意行為。

單純的靜態(tài)審核或動態(tài)沙箱都很難有效的檢測到這些惡意行為,準對這種狀況,Trustlook團隊獨立研發(fā)移動樣本深度分析審核平臺App Insight。用戶可上傳Android APK文件,并在幾分鐘內收到詳細的安全分析報告。App Insight使用了真實設備沙箱系統(tǒng),通過靜態(tài)和動態(tài)結合的分析方法發(fā)現各類隱藏的惡意和敏感行為,幫助安全人員和應用商店高效的審核移動樣本,確保移動端用戶的隱私和數據安全。

免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。

2019-07-15
Trustlook深度揭露插件化技術在新黑產生態(tài)中的濫用
4月初,Trustlook安全研究人員在使用App Insight對國內某商店進行常規(guī)審核時,截獲了一個名為“換機精靈”的樣本,該應用作

長按掃碼 閱讀全文