专栏首页FreeBuf“中国”制造 | 悍马(Hummer)病毒家族技术分析报告

“中国”制造 | 悍马(Hummer)病毒家族技术分析报告

文章原创作者: 猎豹移动安全实验室

自2016年年初开始,猎豹移动安全实验室对印度top 10的手机样本进行了梳理,结果发现这些病毒样本存在家族关系,这些病毒样本均采用hummer系列域名为升级服务器,猎豹移动安全实验室将该病毒家族命名为“悍马(hummer)”。

悍马(Hummer)病毒全球日活119万

据猎豹移动安全实验室吧监测数据,2016年1-6月,悍马(Hummer)病毒的平均日活119万,超过其他所有手机病毒的感染数据,悍马病毒已成世界排名第一的手机病毒。

悍马(hummer)手机病毒已遍布全球,印度、印尼、土耳其位居前三,中国居第4。

印度是悍马病毒感染量最高的国家,在印度肆虐的十大手机病毒中,第2、3名是悍马病毒家族成员,第6名是悍马病毒推广安装的其他病毒。

悍马病毒最早的样本在2014年即被发现,2015年7月后,该病毒的感染量明显上升。2016年该病毒的平均日活119万,峰值超过140万。

悍马病毒样本变种数在2016年4-5月份达到高峰,和该病毒在全球的感染量增长基本吻合。

“悍马(hummer)”病毒家族的发现

除部分风险应用外,其中标红为本文讨论的家族,该病毒会root用户手机,静默安装其他病毒以及推广安装大量应用。

看似一款普通的应用,但是安装后手机就重启。然后屏幕满满的广告,系统被安装大量同类变种、推广应用、 以及其他病毒。就像这样

中毒用户将手机恢复出厂设置并不能解决问题,因为病毒已经获得ROOT权限,system分区已被修改,“悍马”病毒的多个变种已植入手机ROM内。

这种被深深植入rom的病毒,普通的恢复出厂设置,以及进入recovery系统wipe data(安卓用户熟悉的手机双清)都无法清除。

悍马病毒在手机上的运行方式

悍马病毒使用了私有壳

实际主体在stream.png的文件里

在这个png 实际上是一个加密后的 elf 被载入后释放一个zip

该应用的代码实际隐藏在这个zip里面

脱壳后的,其资源文件还有两个elf两个apk

首先,悍马病毒运行后会释放该模块root手机,并且会根据不同的机型使用不同的解决方案。

如果该文件不存在或者损坏,他还可以联网更新

病毒会根据不同的运营商来判断使用哪个模块。right_core是一个500k的zip包。

right_core包含一个root sdk,root手机之后下载更多的子包与以上guangbom等url路径为/getSSPDownUrl.do?cid=的apk并安装。

另外如果root成功,则将之前包里的erwuba这个apk解密并安装到system下,如果root失败则频繁弹出安装窗口,强迫用户安装。该apk安装无图标,作用类似主apk,为病毒的备份,防止原先病毒app被卸载。

接下来就会疯狂弹出各种广告:

根据最新版发现,“悍马”病毒最新变种内置多达18种root方案,基本涵盖Android 5以及更早的系统版本。

等root完手机之后,“悍马”病毒变种会以如下方式与广告服务器通讯,进而静默安装其他应用,前台频繁展示,或者后台点击厂商广告。

受害广告厂商

我们在一台测试机安装悍马病毒APP,做了几个小时的网络抓包,发现其在短短的几小时内,访问网络链接数万次。消耗网络流量达2GB,下载apk超200个。发现受影响的广告厂商如下:

追踪

猎豹移动安全实验室对悍马病毒的历史进行溯源,发现该病毒家族很早就有发现,变种依然十分活跃。

也有其他国外安全厂商有过分析报道:Checkpoint

这是一个什么样的病毒组织呢?

猎豹移动安全实验室追踪到病毒常用域名更新接口如下:

http://d1qxrv0ap6yf2e.cloudfront.net/domain/3.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/4.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/5.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/6.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/7.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/8.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/9.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/11.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/12.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/13.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/14.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/15.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/16.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/17.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/18.json http://d1qxrv0ap6yf2e.cloudfront.net/domain/19.json

对应内容如图

其中root相关的为 9.json 目前其内容如下

{"id":9,"name":"SSP-DW","master":"cscs100.com","slave":"cscs200.com"}

这些域名除了写在代码里,还有通过以上url获得收集到的提供病毒更新的域名如下

guangbom.com ssppsspp.com cscs100.com cscs200.com ccaa100.com ccaa200.com

使用后缀均为getSSPDownUrl,但是链接返回的apk不固定。其中猜测几个cid作用如下

117 124—-Root工具 112 115 118 120 121 126 127—-恶意推广com.android.systemUl 129 025—-恶意推广com.android.updater

这些网址仍然活跃

这些链接基本都会跳转到以下两个aws域名,这两个域名下,散布了大量病毒(virustotal截图)

另一个系列更新链接如下

http://fget.aa0ab.com:10010/c/ http://manage.hummerlauncher.com:10010/c/ http://fget.haoyiapi.com:10010/c/ http://fget.aa0ab.com:10010/c/

以上涉及的域名中,明确提供病毒下载与更新的域名如下

guangbom.com ssppsspp.com cscs100.com cscs200.com ccaa100.com ccaa200.com manage.hummerlauncher.com aa0ab.com haoyiapi.com

虽然大部分域名whois信息已经被隐藏,部分域名的whois已经更新,但我们仍然获取到如下信息

域名的whois信息中,有两个貌似是商业广告公司的网站 hummermobi、hummeroffers ,其中的一个网站还写有公司地址。简单搜索,发现这两个域名属于上海昂真科技有限公司,该公司为北京微赢互动科技有限公司在上海的全资子公司。

使用搜索引擎,发现上海昂真科技有限公司重庆分公司的法人代表为“陈阳”,也是两个病毒更新域名的实际持有人。

域名Whois历史中涉及两个QQ邮箱追踪如下:

其邮箱对应的微博指向了iadpush的员工。根据上市公司公开资料,iadpush是微赢互动旗下的子公司。

然而更意外的是:该病毒组织员工安全意识薄弱,竟然把密码公开放到代码托管网站SourceForge.net上(完整URL:https://sourceforge.net/p/xiu8/svn/HEAD/tree/doc/iad/)

注:SourceForge 是全球最大开源软件开发平台和仓库,是为开源软件提供一个存储、协作和发布的平台。

猎豹移动的安全研究人员在其泄露的内部文档中发现,他们的后台网址竟然就是病毒的更新网址,已泄露的文档相当详尽。虽然数据稍显陈旧,但仍有参考价值。

猎豹移动追踪到与McVivi_Vip相关的某网盘,其中有大量关于微赢互动公司制作恶意程序的内部文档。

里面还有他们的工作规划,招聘岗位说明……

悍马病毒功能相关域名关系图

*文章原创作者: 猎豹移动安全实验室,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf),作者:猎豹移动安全

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-07-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 低成本安全硬件实战遇到的那些事

    世界属于终端 世界属于Linux 世界属于算法 楔子 今年二月份,通过@ya0guang大神的文章我初步接触到了安全硬件低成本调教的姿势,我将跟随ya0guan...

    FB客服
  • 藏在短链接下的挖矿木马:NovelMiner

    使用短链接跳转到长网址是网友分享链接的常见方式,尤其是在有字数限制的情况下,冗长的网址不利于显示,短链生成无疑是最便捷的服务之一。然而,由于短链接隐藏了其指向的...

    FB客服
  • Wannacry蠕虫勒索软件处置流程及方案

    Wannacry蠕虫勒索软件处置流程及工具包 1、背景 5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交...

    FB客服
  • 如何更改Json.NET的序列化规则

    我想要使序列化出来的JSON都是小写,可以通过建立 LowercaseContractResolver:DefaultContractResolver

    javascript.shop
  • Flutter 网络操作

    在前面的文章中我们在Flutter中的本地存储,我们可以将用户的数据存储在移动设备上,但是当用户清空设备或者更换设置这些用户存储的信息就会面临丢失的问题。那么,...

    flyou
  • 低成本安全硬件实战遇到的那些事

    世界属于终端 世界属于Linux 世界属于算法 楔子 今年二月份,通过@ya0guang大神的文章我初步接触到了安全硬件低成本调教的姿势,我将跟随ya0guan...

    FB客服
  • 问答《网络关键设备和网络安全专用产品安全认证》

    去年6月国家互联网信息办公室、工业和信息化部、公安部、国家认监委关于发布《网络关键设备和网络安全专用产品目录(第一批)》的公告,明确了网络关键设备和网络安全专业...

    安智客
  • 如何在Ubuntu 20.04 上安装 Xrdp 服务器(远程桌面)

    本文最先发布在: https://www.itcoder.tech/posts/how-to-install-xrdp-on-ubuntu-20-04/

    雪梦科技
  • 通过Web安全工具Burp suite找出网站中的XSS漏洞实战(二)

    笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例,在漏洞挖掘案例中分为了手工挖掘、工具挖掘、代码审计三部分内容,手工挖掘篇...

    汤青松
  • Java设计模式之装饰模式趣谈

    JVM:”上次给我招的工人不错啊!” oo程序员:”………..” JVM:”现在来我开的博物馆生意越来越好了,原来”舞台剧”的方式已经不能满足顾客的需求了”...

    用户1667431

扫码关注云+社区

领取腾讯云代金券