谁给了你第一个手机病毒?安卓手机病毒来源分析
用户手机的第一个病毒从何而来?这篇文章也许能给你答案。
新应用安装概况
在用户下载安装应用之时,Clean Master会对下载的文件进行安全扫描,仅从Clean Master扫描数据来看,几乎每天都有上千万次的应用安装行为。
应用的安装来源分布如下图二所示。据统计,约有1/3的应用是在用户未设置installer的情况下安装的。这意味着这些应用的来源无法被监控,也就是下图二中的‘未知’来源。绝大部分手机病毒都隐藏在这部分‘未知’来源的应用中。
主要安装源中病毒相关的行为:
1. GooglePlay安装源:
自动/网页广告/用户解锁/点击弹出的广告等来打开Google Play市场到指定的推广app页面,诱导下载 打开googlePlay模拟点击,自动安装(不需root)
2. 未知安装源:
通过色情网页,第三方链接等渠道下载的病毒 病毒推广安装的app 短信蠕虫 手机出厂预装(如赠品推广、电视广告等形式的山寨手机)
‘未知’来源的病毒应用安装情况
‘未知’来源的应用中含有大量病毒应用。来自Clean Master的数据显示,目前有三种病毒每天被安装超过10000次。
病毒应用名称 | 每天被安装次数 |
|---|---|
org.message.up.update | 16379 |
com.android.syscore | 12090 |
com.power.core.setting | 10229 |
org.ndf.sut | 9032 |
com.kiy.freewifi | 8664 |
com.zsysc.dwonload | 8069 |
com.impupa.hum.zq | 7464 |
com.witskies.yoyogo | 6638 |
com.kaixuan | 5823 |
com.google.webcps | 4764 |
com.android.tools.receiver | 4718 |
com.android.patchs | 4647 |
com.codeauroim.systemupdate | 4385 |
com.fun.locktouch | 4119 |
com.op.uuj | 4061 |
com.nts.gtf.zwt | 3811 |
net.smart.game | 3659 |
com.evince.exactly.exceeded | 3412 |
heart.clear.luck | 3310 |
com.bc.android.bctcore | 3233 |
com.bt.wallpapers.hd | 3199 |
com.google.android.syscps.mj | 3058 |
com.fpnq.cleaner | 2929 |
com.android.akeyassist.c | 2857 |
表一 ‘未知’来源病毒应用安装数量
不计算病毒推广安装的正常app,只计算被安装的应用为病毒的数量,根据上面的数据与每天安装总量的对比,病毒所占的比例不低于每天安装总量的千分之一。
以上病毒大部分是被谁推广的?
我们分析了其中两个主要病毒推广源com.sms.sys.manager与com.al.alarm.controller,它们属于同一家族, 这些病毒应用进入用户手机之后,会疯狂推广安装其他对用户无用的应用。下表是Clean Master统计到的设置了installer的数据。
图三中所示的两个病毒每日推广安装其他应用的数量较大。而受这两个病毒应用最严重的国家是印度,超过一半的感染量都在这里。其次是印度尼西亚和菲律宾,可见受灾最严重的国家主要集中在亚洲。
病毒恶意行为分析
遍历elf运行获取root权限
/system/bin/nis/system/bin/daemonnis/system/bin/.daemon/nis/system/bin/.sr/nis/system/bin/ndcfg/system/bin/.daemon/ndcfg/system/bin/.sr/ndcfg
广告推广及其它恶意app推广
这两个样本每天的推广安装量在3至4万之间,从1月份检测到此病毒至6月份为止一直成上升趋势,目前每天的推广量维持在3到4万之间。
分析完病毒推广维度,我们又统计了网页维度的app下载量,以从整体上对恶意app的安装有个总体的认知。
网址安全
当用户访问某个链接时,CMS隐私浏览功能可以判断是否为恶意链接。下表是根据CM Security 查询的数据统计的通过恶意网址传播的TOP病毒。
病毒应用 | 下载量 | 行为 |
|---|---|---|
Wireless optimizer | 16992 | Root+恶意广告 |
WIFI Master pro | 8206 | Root+恶意广告 |
AndroidSystemTheme | 7734 | 恶意广告 |
Adult Victoria | 4595 | Root+恶意广告 |
AndroidBackup | 4546 | 恶意广告 |
MXplayer pro | 4169 | Root+恶意广告 |
ES File Manager pro | 2921 | Root+恶意广告 |
Love Beauty | 2507 | Root+恶意广告 |
LockTouch | 2447 | Root+恶意广告 |
Run Keeper | 2424 | Root+恶意广告 |
Music Player Pro | 2281 | Root+恶意广告 |
FireFox | 2166 | Root+恶意广告 |
表二 恶意应用下载top
GhostPush家族
以上所有病毒与恶意广告均属于同一家族,简要分析如下
MXplayer pro与Wireless optimizer代码结构
通过代码结构可以看到基本属于同一变种,其它的样本大多用了GhostPush相同的root模块,目前为止此病毒家族感染量一直稳居首位。
Wireless optimizer与MXplayer pro Root方式:
Ø Wirelessoptimizer上传信息从云端获取root elf文件来进行root
root脚本及要替换的系统文件
http://45.79.151.241/admin201506/uploadApkFile/rt/20160902/env201609020950.data
root 用到的工具
http://45.79.151.241/admin201506/uploadApkFile/rt/20160823/ToolboxAndSupolicy19.
root 手机的elf
http://45.79.151.241/admin201506/uploadApkFile/rt/20160902/ym.data
Ø Wirelessoptimizer下载root apk来进行root
root手机的apk
http://down.dioewcdn.com/backokr/rtt_0310_577.apk
root样本的多次升级,目前Android6.0以下的机器基本都可以完成root,关键代码以加密的方式放于assets目录或服务器中,用时动态加载,放于系统目录伪装成系统内置应用,su的调用加入多个不同的参数防止第三方获取root。 这些都加大了对root病毒的检测及清除难度,所以root病毒至今依然猖獗,感染量居高不下。
Wirelessoptimizer
行为以第一个Wireless optimizer为例,总体流程:
主要行为简述:
Ø 显示欺诈/色情页面,诱导支付或下载新的恶意样本
Ø 显示广告/网站推广
Ø 点击跳转到色情页面或app推广
Ø 状态栏广告推送
病毒的行为同其它家族病毒行为基本相同,总体来说中毒用户依然是少数用户,但由于其具有root行为,并且病毒之间相互合作安装其它病毒,并通过色情,欺诈页面,引诱下载等方式引导用户下载恶意程序。
所以其推广app的量甚至可以和一些第三方的应用市场持平,加上root病毒难以清除并经常自动从服务器更新广告/root sdk数据,会有一批稳定的“用户”量,通过广告,推广app等形式来获取收益。
以上病毒对应的恶意域名TOP
病毒对应恶意域名 | 下载次数 |
|---|---|
d11w6715sf0qtr.cloudfront.net | 1465 |
d2xprsj0riymso.cloudfront.net | 1046 |
d2elva29up0ecb.cloudfront.net | 828 |
d2b5yq44mldizo.cloudfront.net | 791 |
d149ec88gwqs65.cloudfront.net | 645 |
d2xprsj0riymso.cloudfront.net | 627 |
d1aqbdl78d2ij9.cloudfront.net | 612 |
d2xprsj0riymso.cloudfront.net | 603 |
cdn4.he88cc.com | 579 |
d2hxoy27lswrwn.cloudfront.net | 557 |
d3nrmonu5chdoe.cloudfront.net | 557 |
dflnr8mbt9zn4.cloudfront.net | 543 |
developed.down.paipaijiajiahoho.rocks | 532 |
developed.down.speedeverything.racing | 436 |
d223pr27hf09gh.cloudfront.net | 408 |
d32vdaxi7kise9.cloudfront.net | 385 |
d1p99gh6syi4w3.cloudfront.net | 355 |
d2zftpxw5x4sda.cloudfront.net | 330 |
apk.cs9adv.com | 318 |
cdn4.he88cc.com | 284 |
d12wwrgn171dpf.cloudfront.net | 282 |
d3miaiw22d9toa.cloudfront.net | 256 |
diyuudi4itl2y.cloudfront.net | 242 |
d15kk6vif9vfl2.cloudfront.net | 239 |
kokddl.b0.upaiyun.com | 230 |
d2g6yvve5jkgj.cloudfront.net | 220 |
d3befr7zfyxng9.cloudfront.net | 214 |
dufk90vz3m463.cloudfront.net | 212 |
developed.down.speedeverything.racing | 211 |
d3v84euoiqd4ja.cloudfront.net | 203 |
cdn4.he88cc.com | 193 |
d16tqylaric8rz.cloudfront.net | 191 |
d3vgnpmqp0287f.cloudfront.net | 180 |
d1oys6pgzouz0v.cloudfront.net | 177 |
d3hg5helwcy9a6.cloudfront.net | 177 |
d3rnd9sreh1icy.cloudfront.net | 175 |
dgpp3263vzsn4.cloudfront.net | 171 |
d2qk9dhiyof2a7.cloudfront.net | 170 |
dz4h53f1fc33s.cloudfront.net | 170 |
d16lmr1g7q6e6x.cloudfront.net | 168 |
kokddl.b0.upaiyun.com | 168 |
d2ky4lft4asw5.cloudfront.net | 161 |
down.slamdunk.space | 161 |
apk.cs9adv.com | 147 |
ds1tj08wt495i.cloudfront.net | 142 |
developed.down.paipaijiajiahoho.rocks | 135 |
d9bf1mn02xkeo.cloudfront.net | 131 |
表三 恶意域名top
由于是同一家庭的病毒,基本上访问的root服务、广告服务都是对应于同一个域名。猎豹移动安全实验室对这些域名的来源做了分析,以发现是什么样的链接引导用户安装恶意的app。
跳转到这些域名下载的上一级来源为
病毒下载链接的referrer | 访问数量 |
|---|---|
adf.ly | 30271 |
slimspots.com | 10021 |
cloudfront.net | 6120 |
sh.st | 4485 |
pdanew.com | 3063 |
japemusic.com | 2850 |
afftrack.com | 2533 |
clickpartoffon.xyz | 2134 |
adyou.me | 1429 |
ouo.press | 1285 |
adreactor.com | 1247 |
bc.vc | 1209 |
popads.net | 962 |
waframedia8.com | 907 |
zatnawqy.net | 864 |
adultmaster25.com | 712 |
…… |
表四 上级链接来源top
可见病毒的主要来源,来自短链接以及一些广告链接。
经过我们排查短链接与广告链接的上一级来源后,结果大致如下。
总结
l 病毒在每天的安装量中占到至少千分之一,实际病毒的推广量远大于这个数值 l 病毒安装量主要来源于root病毒及网页安装 l 色情网站、短链接、广告链接为主要的病毒来源
病毒一般以色情、欺诈页面、诱导等方式通过第三方网页传播下载,目前Android6.0以下的机器都有被病毒root的风险,在平时请不要点击不认识的第三方链接,仅从正规市场上下载应用。
一旦手机中了root病毒可以搜索相关的专杀软件或者通过手机售后刷机来达到清除root病毒的目的,除此外尽快升级为Android6.0或以上版本也是一个好的方法。
*猎豹移动安全实验室,未经许可禁止转载