本文来自合作伙伴“阿里聚安全”.

 2015年09月11日 15:50  7389

一, 事件起因

根据德国安全厂商GDATA放出的2015年Q2移动恶意病毒报告 [1]中指出:市场上至少有26款的Android手机在卖给消费者时藏有恶意程式,受害的不乏知名品牌,包括小米3(Xiaomi MI3)、华为的Huawei G510、联想的Lenovo S860、Android P8、ConCorde SmartPhone6500、中国的阿尔卑斯(Alps)等,这些手机品牌主要销售地区在亚洲和欧洲。据介绍,这类间谍软件主要伪装在Facebook和谷歌等流行的安卓应用程序驱动中。用户手机在没有解锁的情况下,是无法删除这些应用的。

图1 受影响的手机型号

二, 病毒样本分析

在发生此次事件后,我们第一时间联系了GDATA公司,并拿到了预装在手机中的恶意病毒样本进行分析。

样本一: 脸书武器刀 (facebookKatana)

包名:com.facebook.katana

MD5: 334f0a9811034dd226289aa84d202e60

SHA1: ac8d71fc4ec99b3cb9d758451048fc3d44dda62e

这个样本对facebook 1.8.4版本的apk进行了重打包。在facebook的apk中加入了“com.facebook.tuubo”这个恶意广告包。

图2脸书武器刀的界面



图3脸书武器刀的恶意广告包

同时这个病毒样本在原本应用的权限上又申请了大量的高危权限。



图4脸书武器刀额外申请的权限

这个病毒样本的行为如下:

* 连接 s.fsptogo.com 和 s.kavgo.com 服务器获取命令

* 静默下载和安装

* 获取机器UDID

* 浏览器历史记录

* 获取logcat调试信息

通过分析apk的开发者证书我们发现,该的开发者属于Elink公司,这个公司号称是开发MTK平板电脑的,不过公司的主页做的非常不专业,感觉只是为了用来伪装。



图5 Elink公司首页

样本二:伪推特下载器 (FakeTwitter.Downloader)

包名:com.twiter.android (注意:比正常应用com.twitter.android少了一个t)

MD5: e82ac31cb3771e07c572d526f075bbf4

SHA1: 808dabf5969f76a130901f20091abe85a30f6387

这个病毒样本对twitter的apk进行了重打包。在twitter的apk中加入了“com.twitter.MyReceiver”,“com.twitter.MyService”,“com.twitter.NotifyActivity”等恶意广告组件。



图6伪推特下载器的界面



图7 伪推特下载器的恶意广告组件

同时这个病毒样本在原本应用的权限上又申请了大量的高危权限。



图8 伪推特下载器额外申请的权限

这个病毒样本的行为如下:

* 连接 91hao.com服务器(分析时服务器已经下线)获取命令

* 静默下载和安装

* 获取机器UDID



图9 伪推特下载器在服务器上静默下载应用

样本三:悠悠村市场 (uucunPlay)

包名:com.uucun4470.android.cms

MD5: e7d6fef2f1b23cf39a49771eb277e697

SHA1: f5735dc4d9502f99d3b62c49ef083b403d627124

该病毒样本首先申请了大量高危权限(安装应用,发送短信等),随后伪装成Google Play应用安装隐藏在系统目录中。因为在“/system/app/”路径下的是默认拥有system权限的,所以该病毒样本可以在用户不知情的情况下在后台下载并安装应用到手机当中。



图10悠悠村市场申请的权限

 



图11悠悠村市场的应用信息(伪装成Google Play)



图12悠悠村市场的界面(伪装成Google Play)

 

悠悠村市场静默安装其他apk文件的方法在“com.uucun.android.j”中,恶意样本会现检测当前是否有安装其他应用的权限:

随后悠悠村市场会调用静默安装的API进行apk的安装:



根据动态分析,该病毒样本会到这些apk市场上下载应用:

http://apk.hiapk.com

http://agoldcomm.plat96.com

另外,病毒样本还会将搜集到的手机信息上传到这些服务器。

http://cloud6.devopenserv.com

http://pus7.devopenserv.com

http://log6.devopenserv.com

通过whois.com查询发现是上海的一家叫悠悠村的公司的服务器。

 



图13 devopenserv.com的whois信息

 



图14 UUCUN的网站

 

根据介绍UUCUN是国内首家&最大AppStore解决方案商(优拓解决方案),成功帮助超过300家手机厂商、方案商、手机卖场以及第三方ROM提供AppStore解决方案。同时,也是国内最大的无线广告平台,平台聚集1000家广告主、5万家开发者。

其中提到了为第三方ROM提供AppStore解决方案。难道所谓的解决方案就是将病毒伪装成Google Play,然后预装在手机中伪装成Google官方进行软件推广或者在后台进行静默安装?

 

三,事件分析

 

经过对样本的分析以及调查后,我们可以得出结论: 手机中预装病毒确有其事,但GDATA公司的报告有些过于夸大事实了。首先这些病毒样本并不是在小米、华为和联想等厂商出厂时安装的,而是在销售的过程中,被经销商预装了病毒或刷入了带有病毒的固件。其次,这些病毒的主要目的是为了进行软件推广,并不会过分的收集用户隐私,所以中毒的用户不用太担心类似iCloud照片门事件的发生。



图15 通过ROM传播病毒的流程

图16 央视新闻对手机预装病毒的报道

另外,在手机中预装病毒的案例这并不是第一个,比如说Lookout曾经报道过jSMSHider病毒,就是一种预装在手机ROM中的恶意短信扣费病毒[2]。在学术界也有预装病毒方面的研究[3]。但随着国家政策对短信扣费类的服务严加管制,地下产业链已经将主流手机病毒转型为恶意软件推广类病毒了。因为随着移动互联网的兴起,软件推广业务已经变成一块人人都想抢的蛋糕,推广者(黑客)只要能做到一个下载安装运行就可以获取5-20元不等的软件推广费,这也就是为什么恶意推广病毒会这么流行的原因。

四,对消费者的建议

 

为了避免中毒,消费者应该在正规的官方渠道购买手机,不应该贪图便宜而在不安全的小商场购买。如果不放心自己的手机是否中毒,可以下载手机安全应用(比如阿里钱盾等)进行安全扫描,如发现恶意病毒应立刻进行卸载。



图17 钱盾查杀界面

五,参考文献

 

1.  GDATA 2015年Q2移动恶意病毒报告https://public.gdatasoftware.com/Presse/Publikationen/Malware_Reports/G_DATA_MobileMWR_Q2_2015_US.pdf

2.  Security Alert: Malware Found Targeting Custom ROMs (jSMSHider) https://blog.lookout.com/blog/2011/06/15/security-alert-malware-found-targeting-custom-roms-jsmshider/

3.  Min Zheng, Mingshen Sun, John C. S. Lui. "DroidRay: A Security Evaluation System for Customized Android Firmwares", ASIACCS 2014

本文来自合作伙伴“阿里聚安全”.

时间: 2024-12-21 20:58:09

本文来自合作伙伴“阿里聚安全”.的相关文章

阿里聚安全与蚂蚁金服战略合作,为千万商户提供安全服务

 2017年01月06日 14:08  1286 黑灰产规模日趋庞大.信息泄漏事件层出不穷--互联网安全形势不容乐观.万物互联时代,一个微小的安全风险都可能引发蝴蝶效应.没有一家企业或个人能独善其身,各方共建开放合作的互联网安全生态已势在必行.今天,蚂蚁金服全新"安全服务平台"在三亚正式上线,标志着蚂蚁金服安全生态正式进入2.0时代.该平台引入行业顶尖安全公司帮助千万中小商户解决安全问题,成为蚂蚁金服打造世界顶尖.基于大数据的网络生态安全的重要一环. 赋能商户:帮助中小商户扎牢&quo

【阿里聚安全·安全周刊】App通过超声波信号静默追踪用户 | 图片噪点可骗过Google最顶尖的图像识别AI

[阿里聚安全·安全周刊]App通过超声波信号静默追踪用户 | 图片噪点可骗过Google最顶尖的图像识别AI 数百款App通过超声波信号静默追踪手机用户 你的智能手机上可能安装了一些app持续监听用户周遭无法听到的高频超声波,借此了解到你的动向和喜好,而你对此一无所知. 超声波跨设备追踪是一种新技术,目前一些营销人员和广告公司用于跟踪多台设备中用户的动向并访问比之前广告更有针对性的信息.例如,用户去过的零售店.看过的商业广告或网页上的广告能发出一种独特的"超声音频信号",包含接收器的移

云栖大会——阿里聚安全亮出创新技术 颠覆APP传统安全加固

 2016年10月17日 17:32  2175 10月13日,杭州 · 云栖大会如期召开,亮点之一就是将会有众多"黑科技"汇聚,其中由阿里聚安全带来的"全量混淆"和"瘦身"技术开创了APP安全加固的新方向.快速的配置操作使得用户能够无缝平衡业务发展与安全保障. 阿里聚安全是阿里巴巴集团整合自身安全能力对外输出的安全开放平台,细数阿里聚安全的产品发展历程:从强大攻防能力的移动安全组件到业内领先的风险决策引擎,再到基于深度学习技术的内容安全····

阿里聚安全企业沙龙全国行广州站,期待你的报名!

 2016年08月22日 16:22  2451 阿里聚安全企业沙龙全国行广州站,期待你的报名! 阿里聚安全是阿里巴巴集团整合自身安全能力对外输出的安全开放平台,依托国际领先的风险扫描引擎.立体式安全防护技术.庞大的数据库体系和计算能力,为企业级应用和移动应用开发者提供多维度的全周期安全解决方案,集成方式简单快捷,帮助企业与开发者快速定位并解决互联网应用中存在的风险,与行业共享阿里巴巴集团十几年来在互联网安全领域实战的积累. 已服务超过1000个移动应用和10000个互联网站点,总体覆盖超过5亿

阿里聚安全企业沙龙全国行上海站报名啦!

 2016年09月01日 10:44  2435 阿里聚安全是阿里巴巴集团整合自身安全能力对外输出的安全开放平台,依托国际领先的风险扫描引擎.立体式安全防护技术.庞大的数据库体系和计算能力,为企业级应用和移动应用开发者提供多维度的全周期安全解决方案,集成方式简单快捷,帮助企业与开发者快速定位并解决互联网应用中存在的风险,与行业共享阿里巴巴集团十几年来在互联网安全领域实战的积累. 已服务超过1000个移动应用和10000个互联网站点,总体覆盖超过5亿个终端.面对庞大的移动安全市场需求,阿里聚安全已

阿里聚安全受邀参加SFDC安全大会,分享互联网业务面临问题和安全创新实践

 2016年10月27日 13:50  2127 现今,技术引领的商业变革已无缝渗透入我们的日常生活,「技术改变生活」的开发者们被推向了创新浪潮的顶端.国内知名的开发者技术社区 SegmentFault 至今已有四年多了,自技术问答开始,他们已经发展成为一个问答.专栏.笔记.头条以及线下活动等多产品线的技术交流平台.到目前为止,SegmentFault 已成功举办 40 多场技术沙龙,让 13 座城市的 5000 多位活跃开发者积极参与其中.今年,更是开启 SFDC (SegmentFault

保护8亿终端 阿里聚安全携手信通院打造B2C资金安全闭环

 2016年09月21日 13:49  2625 近年来,电信网络诈骗持续高发,从2011年至2015年,全国电信诈骗案件数量从10万件飙升至约60万件.据新华社报道,仅2016年1月至7月,因电信诈骗造成的经济损失就高达114.2亿元.电信诈骗与互联网灰黑产业链相交织,产业化.专业化.跨区域化趋势愈发明显,对通信行业的安全能力提出了更高的要求和挑战. 9月21日,2016国家网络安全周期间,阿里聚安全与中国信息通信研究院(以下简称信通院)就未来的技术合作签署合作协议,用安全技术创新联手对抗电信

【新加坡之旅】阿里聚安全参展2016 RSAC APJ,安全能力输出至海外

 2016年07月28日 11:14  2613 阿里聚安全参展RSA 2016亚太及日本会议 7月20号~7月22号,阿里聚安全与支付宝国际风控一起参展在新加坡举办的RSA 2016亚太及日本会议,并在展会上首发移动安全国际版,为海外用户输出阿里巴巴的移动安全能力,标志着阿里聚安全国际化正式启程. RSA大会作为信息安全界最具影响力的盛会之一,是了解企业安全业务风向标的重要机会, 也是观察世界网络安全趋势的窗口.为期三天的盛会举行50多场次会议和研讨会,涉及五大专项议题,包括:云.移动与物联网

携手共建互联网安全!阿里聚安全企业沙龙行走广州站!

 2016年06月29日 09:20  2643 为满足企业安全多元化的需求,阿里聚安全企业沙龙全国行已经完满的走完了三场,从用户到合作伙伴,再到开发者,我们的行走就是为了能携手更多的合作伙伴共建互联网安全生态圈,6月24日,我们来到有着众多创业开发爱好者的广州. 我们愿为用户.合作伙伴及开发者提供更多的资源和服务 阿里安全无线技术专家阿刻对阿里移动安全技术实践作了深度解析.日前很多不法分子利用互联网漏洞进行牟利已经成为新的违法犯罪趋势,催生了诸如"黄牛"."羊毛党"