别让你的手机成为恶意软件的温床

一、导读

手机早已成为人们生活中不可或缺的一部分,在娱乐,移动支付,社交等方面都起到举足轻重的作用,可以说在当今社会手机就是人们重要的“生存”工具之一。但是在享受时代带给我们的福利的同时,一些“不怀好意”的人们也伺机而动,用各种非法的手段从众多的网民身上谋取利润,因为这些人的存在,严重的损害了普通人的利益,无论是去年爆发的勒索病毒,还是今年的银行木马,这些安全事件都应让我们警醒,在互联网时代我们还有很多事要做,我们的安全道路任重而道远。

二、病毒威胁介绍

2.1 一不小心你就中招

近日,平台监测到一款新型病毒,经过安全人员研究,发现其伪造成正常内存清理软件,在点击后隐藏图标,转入后台运行,上传用户信息,下载执行恶意插件,对用户信息安全造成极大威胁,为了保护广大网民的安全,对此病毒和服务器地址进行了上报处理,在根源上断绝病毒的传播。

2.2 你的手机如何成为了病毒的温床?

该病毒仿照正常手机清理软件,混淆视听,欺骗用户下载,并且在运行后隐藏图标转而后台运行。应用运行状态,如图2-1,图2-2所示:

图2-1 应用安装状态

图2-2应用运行状态

2.2.1 隐藏图标

通过包管理器设置图片隐藏,如图2-3所示:

图2-3隐藏图标

2.2.2 软件后台驻留运行

通过接受广播启动服务,如图2-4,图2-5所示:

图2-4接受广播形式

图2-5广播开启后台服务

在Android版本5.0以上该样本则采用了JobSchedule机制进行后台进程保活,如图2-6所示:

图2-6JobSchedule机制后台进程保活

2.2.3 上传用户数据

病毒在用户不知情的情况下发送数据包,私自获取大量用户设备信息,并且发送到指定url,如图2-7所示:

图2-7 抓取上传数据包

获取用户设备相关代码信息,如图2-8所示:

图2-8获取用户设备相关信息

上传数据包中的用户设备信息内容(解密后结果),如图2-9所示:

图2-9 上传数据包信息图

2.2.4 与远程服务器交互

病毒运行过后会向主控服务器发送数据包,然后根据主控返回的结果执行下一步的行动,如图2-10,图2-11所示:

2-10向主控服务器发送数据包

抓包得到服务器返回的结果,我们可以大致判断此时病毒主控服务开启,但广告推送的功能属于关闭状态。

图2-11服务器返回的结果

结果表明服务正常运行,病毒向URL发送请求,确认下载插件的地址,下载插件,运行插件如图2-12,图2-13,图2-14,图2-15所示:

图2-12向服务器返回的结果

图2-13下载插件

图2-14下载插件

图2-15运行插件

2.2.5 利用插件化技术隐秘执行

按照常理病毒需要找准时机运行这些插件,但并不是直接在Android系统层直接运行。这里用到了一个最近比较流行的插件化技术。在这个样本中,病毒作者利用了一款开源的多开应用框架VirtualApp,运用此框架可以使得插件的作用效果大大增强,因为此框架使的插件实际是在Android系统与外部应用的中间层运行,插件的运行受系统本身的限制将会减少很多,近似于root的环境给病毒创造了绝妙的温床,而虚拟机的环境又使得静态的病毒检测方法无法生效,提高了查杀难度,结合 VirtualApp的病毒确实可以肆无忌惮做很多事。

VirtualAPP实现程序内部运行大致遵循以下流程,首先代理程序运行所需系统各种服务,使运行程序和VA为合为一体,其次修正应用数据,保存原有数据,然后数据整合在VA中代理运行,最终交于系统执行。

VirtualAPP实现多开应用的大致逻辑如图2-16所示:

图2-16VirtualAPP多开流程图

该病毒的文件结构以及运行逻辑如图2-17,图2-18所示:

图2-17应用文件结构

图2-18病毒运行流程

2.2.6 破坏杀软主动防御

对服务器下发的插件分析,发现存在恶意行为。经过抓包后处理,我们发现程序经过解密最终会生成2个Jar包,如图2-19所示:

图2-19生成的恶意Jar包

该jar包在运行后会主动破坏系统中存在的主防,并且会重启手机,目前可以确认会被破坏主防的杀软有LBE安全大师以及360的主动防御。

2.3 主控地址功能

主控地址

功能

http://api.*.top:9000/api/channel/cfg?**

确定整个服务的功能状态。

http://www.*are/cr/sv/getGoFile?name=goplaysdk_statistics_s250.dat

获取插件下载地址。

http://hc**day:8082/spdumread/service/rtLogRecord

作为获取设备信息的地址。

http://alo*.com/app_logs

基座中包含的友盟统计模块。

http://hc.s**op/gpfile/pfiles/

恶意插件的下载地址。

2.4 主控地址追踪

我们只对其服务器域名进行溯源,通过域名的whois查询,获取到的大部分信息都被隐藏,包括注册信息,联系人,公司信息,其中只有一个域名信息较为完整,如图2-20所示:

图2-20 域名溯源

根据基本信息我们大致知道注册人的基本情况,根据邮箱查找相关信息,查看qq的情况,判断是被盗号过后注册的邮箱,如图2-21,图2-22所示:

图2-21qq基本信息

图2-22邮箱相关的百度贴吧号

三、防范及处置建议

建议用户提高警觉性,使用软件请到官网下载。到应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害。关注”暗影实验室”公众号,获取最新实时移动安全状态,避免给您造成损失和危害。

为防止病毒变种,用户发现已经安装此病毒的,可以请专业人员分析此病毒。

安全需要做到防患于未然,可以使用恒安嘉新公司的APP威胁检测与态势分析平台进行分析对Android样本提取信息并进行关联分析和检测;

用户发现感染手机病毒软件之后,可以向“12321网络不良与垃圾信息举报受理中心”或“中国反网络病毒联盟”进行举报,使病毒软件能够第一时间被查杀和拦截。

声明

本报告内容不代表任何企业或任何机构的观点,仅是作者及所在团队作为技术爱好者在工作之余做的一些尝试性研究和经验分享。 本报告虽是基于技术团队认为可靠的信息撰写,团队力求但不保证该信息的准确性和完整性,读者也不应该认为该信息是准确和完整的。这是主要是因为如下一些理由(包括但不限于): 第一,互联网的数据无处不在,我们所能接触到的是极为有限的抽样样本,本身不具备完整性。 第二,不同的技术方法获取的数据有一定的局限性。比如,终端agent获取的数据只能涵盖已部署终端的范围;爬虫技术的时效性和完整性受限于爬虫的规模和能力;网络侧探针技术受限部署探针的节点数量并只能对活跃的行为进行感知。 第三,即使已经纳入到分析范围的样本,也会由于技术团队规则和算法的选择造成统计结论偏差。 第四,技术团队所得出的结论仅仅反映其数字本身,进一步主观得出优劣性的、排名性的、结论性的观点是危险的。因为安全事件往往伴随着业务的良性增长,开放程度,法律法规以及黑色产业链的演进等多方面的因素,是一个复杂的生态问题。 此外,团队不保证文中观点或陈述不会发生任何变更,在不同时期,团队可发出与本报告所载资料、意见及推测不一致的报告。团队会适时更新相关的研究,但可能会因某些规定而无法做到。 最后,即使未经作者的书面授权许可,任何人也可以引用、转载以及向第三方传播。但希望同时能附上完整的原文或至少原始出处。这样的考虑在于:第一,避免选择性的部分引用造成的不必要的误解;其次,避免某些内容的错误经原作者发现并及时调整后没有体现在转载的文中。

感谢大家的理解!

* 本文作者:暗影安全实验室,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-06-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏IT笔记

三分钟读懂TT猫分布式、微服务和集群之路

针对新手入门的普及,有过大型网站技术架构牛人路过,别耽误浪费了时间,阅读之前,请确保有一定的网络基础,熟练使用Linux,浏览大概需要3-5分钟的时间,结尾有彩...

31610
来自专栏FreeBuf

担心投票系统被黑,详解荷兰政府为何决定在大选中使用手工计票

在3月的荷兰大选即将到来之际,安全专家Sijmen Ruwhof通过Youtube上有关荷兰大选使用的计票软件介绍视频,对荷兰大选中使用的投票计票软件OSV p...

2137
来自专栏小樱的经验随笔

网站渗透测试原理及详细过程

网站渗透测试原理及详细过程 零、前言 渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。 这里我们提供的所有渗透测试方法均为(假设为)合法的评估...

7249
来自专栏FreeBuf

安卓再曝新漏洞:可远程致使用户无法接打电话

本周堪称是安卓设备的“黑色周”,几天前刚被爆出Stagefight媒体库上存在胜似“心脏滴血”的高危漏洞,这两天安全研究人员再曝可远程致使安卓设备无法正常接打电...

20810
来自专栏黑白安全

漏洞评估指南 {Vulnerability Assessment}

漏洞评估的四步指南 这是一个建议的四步法,使用任何自动或手动工具启动有效的漏洞评估流程。

1642
来自专栏安恒信息

Android新漏洞发现:同WiFi网络可窃取SD卡内容

根据安全研究人员发布的最新公告显示他们又找到一个能够威胁大部分Android设备的最新漏洞。该漏洞主要出现在WebView编程接口方面,开发者能够通过该接口来让...

2985
来自专栏漏斗社区

看!我手里有个Email收集神器

众所周知,在工作中,大家用到最多的便是Email来传输工作内容,因此,像一些VPN信息、服务器账号密码、公司人员清单等敏感数据,均会通过Email进行传输,并且...

1923
来自专栏FreeBuf

Python已成为网络攻击的首选编程语言

调查数据表明,目前的GitHub代码库中,有超过20%的网络攻击工具或PoC代码都是采用Python编写的。

1422
来自专栏FreeBuf

关于企业员工存在的安全风险的一些看法

人是安全管理中最大的安全隐患。不记得这句话从哪里看到的了。不过我们经常会看到类似于从一个司机邮箱渗透到企业重要系统的案例(参考资料1),越来越热的apt攻击也...

20710
来自专栏安智客

安全芯片密码检测、密码模块安全检测、与等保2.0

前面我们知道GM/T 0008-2012《安全芯片密码检测准则》将安全芯片密码等级分为3个等级! 而在GM/T 0028-2015《密码模块安全技术要求》和GM...

4585

扫码关注云+社区

领取腾讯云代金券