淘米客SDK被曝可劫持用户的所有短信

报告原作者:Shawn Jin,Zhi Xu,Claud Xiao

移动应用App开发者都面临着如何进行盈利这项不可避免的问题,其中最常见的方法便是在应用中加入广告。广告联盟创建一个函数库,方便开发者将广告植入其中,以开始快速的赚钱。我们之前就强调安装这些使用了IAPs的应用十分危险,因为通常这些应用能够读取发送到用户手机上的所有短信。

当然并非所有基于IAP的SMS应用都会盗取用户的数据,但我们最近分析的Taomike SDK就会捕获短信并将副本发送到淘米客控制服务器。自8月1日起,Palo Alto Networks WildFire获得的数据表明超过18,000款安卓应用包含这个库。这些应用均不存在于Google Play应用商店,都是通过第三方应用商店在中国传播。

背景

WildFire捕获到的许多移动恶意软件样本都会拦截并上传短信,这些应用中大部分都是开发者在第三方托管商中设置了一个命令控制服务器,并且经常更新位置以躲避检测。

在这些恶意软件中我们发现很多是由“mobile monetization”公司创建的,这些应用通常都是欺骗用户点击弹出窗口进行安装,用户之后才从电话账单中发现猫腻,反病毒软件通常将此类App识别为恶意软件。但是本文所讲述的这款恶意软件有些不同,很难检测到它。

淘米客是一家中国公司,其目标是成为中国最大的移动广告解决方案平台。他们提供了一个SDK和服务帮助开发者展示丰富的广告内容,此前淘米客并没有相关的恶意行为,但最近的一次版本更新中增加了一项盗取短信的功能。在应用中嵌入库应该是合法的,并且有很重要的功能,但是开发者选择淘米客的SDK就将他们自己陷入了危险的境地。

技术细节:盗取短信

并非所有使用淘米客SDK的应用都会盗取用户短信,我们的分析表明仅有包含嵌入式URL的样本hxxp://112.126.69.51/2c.php才会有这个功能。这个URL就是上传短信的地址,并且这个IP地址属于Taomike API服务。在我们捕获的63,000 Android App中就有18,000个应用包含这个盗取短信的功能。

我们相信淘米客SDK肯定有许多版本,只有部分版本会上传用户的短信。基于我们的数据,盗取短信功能是2015年8月刚发布的新版本中才会有的功能,之前版本的SDK都不具有这项功能,所以使用老版本的用户是安全的。

这个淘米客library被称之为“zdtpay”,是Taomike’s IAP系统中的一个组件。

我们从manifest文件中看到这个库需要短信和网络权限,这个库同时还为SMS_RECEIVED和BOOT_COMPLETED注册了一个名为com.zdtpay.Rf2b接收器。

这个注册接收器Rf2b将会读取短信,如下图所示,它还收集消息内容和发送方手机号码。

如果设备刚重启,接着将启动MySd2e服务再次为Rf2b注册一个接收器

接收器收集到的短信保存到hashmap,然后上传到112.126.69.51

所有发送到手机的短信都会被上传,不仅仅是那些与Taomike相关的平台。下图显示了一个上传测试消息时抓取到的数据包,短消息已经用红色虚线标记出来“hey test msg”。

淘米客library还链接下面的URL,但仅有“2c.php”是用来盗取短信消息的,其他的路径都是库的一些其他功能。

http://112.126.69.51/2c.php http://112.126.69.51/imei_mobile.php http://112.126.69.51/install_report.php http://112.126.69.51/error.php http://112.126.69.51/rixian.php http://112.126.69.51/order_mo.php http://112.126.69.51/order.php http://112.126.69.51/order_status.php http://112.126.69.51/tdstatus.php

风险及解决方案

自2015年8月至今,我们共捕获了大约18000份包含短信盗取library的样本,这也意味着受影响的用户量是有多庞大。随着更多的开发者更新最新版本的SDK,有影响的应用和用户数量会不断上升。

我们还不清楚淘米客盗取用户的短信是拿来做什么,但是一个library抓取短信并上传实非正途!在Android 4.4版本谷歌就已经开始阻止应用程序盗取短信了,除非默认该应用为短信程序。

中国以外的用户,只要从官方Google Play应用商店上下载应用就不会受到这类威胁。

结论

即使是非常流行的第三方广告联盟平台也不能完全信任。当开发者在其应用中引用新库时,需要仔细的测试并查看是否有异常活动。

* 报告原作者Shawn Jin,Zhi Xu,Claud Xiao,来自paloalto,编译/FB小编鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-10-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

网络空间搜索引擎全方位评测

从前有座山,山上有座庙,庙里有个老和尚和小和尚……这个简短无尽的儿童故事是很多人都知晓的,整个故事从开头就定义了空间的概念,让我们能够清楚的知道老和尚和小和尚在...

60480
来自专栏ytkah

教你微信图文消息快速添加视频的方法

  最近国防部发布征兵宣传片:军营版《小苹果》的视频很火,好东西不能独享,决定让公众号粉丝也happy一下,怎样在微信图文消息快速添加视频呢?瞧下xmyanke...

36990
来自专栏FreeBuf

ProjectSauron/Strider | 顶级的网络间谍平台暗中窃取政府加密通讯数据

一. 简介 在过去几年间,媒体报道的“APT相关”事件数量已呈显著增长趋势。但是,对于其中一些事件而言,“APT”(即高级持续性威胁)存在被夸大的成分。 除一些...

21860
来自专栏喵了个咪的博客空间

[喵咪海外部署]海外部署访问技术探索

[喵咪海外部署]海外部署访问技术探索 ? 当一个公司在开展海外业务的时候,对他的技术就有了挑战,因为海外用户访问会遭遇到各种问题(比如网络丢包,延迟高,国内防火...

50870
来自专栏FreeBuf

浅析大规模生产网络的纵深防御架构

纵深防御这个在安全行业被用的很烂的词,乙方的顾问写方案时信手捏来,我想大家的理解可能并不一致。其实我比较赞同lake2用的“河防”以及数字公司用的“塔防”的概念...

40350
来自专栏安恒信息

“隐私一扫光”安卓手机病毒无所不偷

网络安全中心最近捕获一款安卓手机后门木马,该木马病毒除了会窃取用户短信、通讯录、及手机软、硬件相关的所有信息,还窃取通话录音、邮件、微博、Q...

33260
来自专栏FreeBuf

手机数据传输安全分析

如今手机已经成了我们离不开的伙伴和知己,它了解我们的日常生活。然而每一天在路上的时候,它都会收集我们的私密信息。平时我们会用它拍照,在社交网络中分享我们的心情;...

240100
来自专栏FreeBuf

看我如何发现Facebook注册用户手机号码

近期,曾通过链接重定向方法劫持川普Twitter的比利时黑客@securinti,发现了从Facebook查找注册用户手机号码的方法,我们一起来看看。以下是@s...

422100
来自专栏技术视点

17个混合云安全威胁及解决方案

反对者经常将混合IT云视为一种混乱的架构。但这并非混合IT云的问题,问题出在较差的网络执行、安全协议和管理上。无缝混合云的最大障碍是合规性不足、缺乏加密、风险评...

38990
来自专栏Youngxj

腾讯云学生机加4元升级2核2G

1.4K30

扫码关注云+社区

领取腾讯云代金券