• 一分快3官网

一分快3官网

作者︰阿里聚安全  發布日期︰2020-02-25 23:58:16
Tag標簽︰萬安  惡意  
  • 背景︰

    隨著(zhou)移動(dong)端應用市場(chang)數量爆炸式增(zeng)長,App推(tui)廣和tui)毓guang)率也越來越難。哪里有需求哪里就有生財之道,自然,App刷榜(bang)也就形成了一條產業(ye)鏈,它能夠在短期內大幅提高下lue)亓亢陀沒 浚 岣哂τ玫鈉毓guang)率。


    近期,阿里移動(dong)安全發現一款名叫“魔(mo)百Wi-Fi”應用,該(gai)應用官方的一個(ge)版本捆綁了多個(ge)病毒,目的是對GooglePlay商店應用刷榜(bang)和刷大量未知應用安裝量。該(gai)病毒在該(gai)設備鎖屏時對設備root,root成功(gong)後向系統目錄植入“刷榜(bang)僵尸”病毒,“刷榜(bang)僵尸”對指定應用在GooglePlay商店上惡意刷量,同(tong)時還(huai)會誘騙用戶安裝“下lue)卣rdquo;病毒,“下lue)卣rdquo;病毒會在設備屏幕亮起狀態會彈(dan)出(chu)廣告頁面(mian),若用戶觸(chu)踫(peng)廣告頁面(mian)推(tui)廣的應用將會自yuan)dong)安裝運行。該(gai)病毒技(ji)術(shu)相當成熟,root提權使用最(zui)高廣的漏洞(dong)(CVE-2014-3153 TOAWELROOT、CVE-2015-3636 PINGPONG和PUTUSER等),2015年10月(yue)之前的設備全部受影響。我們對yuan)褚庥τ玫鬧?槎員bi),驚人的發現並非被重(zhong)打包!


    “魔(mo)百Wi-Fi”在2015年末(mo)首次發布,向用戶打著(zhou)安全Wi-Fi旗(qi)號,短短半(ban)年用戶安裝量已(yi)高達(da)300萬。我們發現它具備專業(ye)的應用推(tui)廣團隊,目前已(yi)yan)詮guo)內知名渠(qu)道發布多篇宣傳文章(zhang),並與國(guo)內多家應用商店合作,下圖是”魔(mo)百Wifi”前不久的一篇文章(zhang),文中還(huai)gu)岬ldquo;截(jie)至目前,魔(mo)百WiFi擁有超過2億的國(guo)內外(wai)熱(re)點,已(yi)覆(fu)蓋商場(chang)、酒店,熱(re)點全線接入”。

    圖1

     

    “魔(mo)百Wifi”目前最(zui)新版本為2.3.18。根據應用證書md5(5919ee638614c467152ab4d07c9cc2dc)排查,發現版本2.3.5~2.3.10被huai)俜講迦肓碩褚獯dai)碼。值得(de)注(zhu)意的是,官方發布的2.3.8版本打了兩(liang)個(ge)不同(tong)的包,一個(ge)增(zeng)加(jia)root提權向系統目錄植入“刷榜(bang)僵尸”,另外(wai)一個(ge)包和2.3.10版本應用都(du)捆綁了“下lue)卣rdquo;病毒。捆綁了“刷榜(bang)僵尸”和“下lue)卣rdquo;的“魔(mo)百Wifi”,利用自身的用戶量對應用刷榜(bang)和安裝,進而非法牟利。以下是對“魔(mo)百Wi-Fi”2.3.8帶root包的應用分析。

    一、主包分析︰

    該(gai)病毒捆綁了多個(ge)子(zi)包,以下是各個(ge)模塊(kuai)關(guan)系圖︰

     

    圖2

    1. 解密assets目錄下sdk.data、__image數據,解密後sdk.data是一個(ge)目錄,目錄下包括(kuo)MainJson.txt、dexhostinjection.jar、libDaemonProcess.so, __image是apk文件;

    2. 喚起PushDexService、PushJobService完(wan)成dexhostinjection.jar加(jia)載,以及執行dexhostinjection.jar的com.hostinjectiondex.external.ExternalInterfaces類(lei)的startExternalBody方法,子(zi)包下lue)ldquo;下lue)卣rdquo;病毒update,並誘導jia)沒?滄啊/p>

    3. 開啟後台服務利用libgodlikelib.so進行root提權,提權成功(gong)將libgodlikelib.so提權工具庫寫入系統庫文件;__image解密的apk文件植入系統目錄,取名AndroidDaemonFrame.apk即是“刷榜(bang)僵尸”病毒;

    二、root提權

    該(gai)樣本是基于開源的RUN_ROOT_SHELL改寫而成,可以yuan)015年10月(yue)份(fen)之前的全部設備root,主要利用了以下漏洞(dong)進行提權︰

    (1) CVE-2012-4220
    影響設備︰Android2.3~4.2
    使用的QualcommInnovation Center(QuIC)Diagnostics內核模式驅(qu)動(dong)程序diagchar_core.c在實現上存在整(zheng)數溢出(chu)漏洞(dong),通過向diagchar_ioctl內傳遞特制的輸入,遠(yuan)程攻擊者可利用此漏洞(dong)執行任意代(dai)碼或造(zao)成拒絕服務。


    (2) /dev/graphics/fb0
    fb0設備mmap漏洞(dong)(觸(chu)發參數FBIOGET_FSCREENINFO)


    (3) /dev/hdcp
    hdcp設備mmap漏洞(dong)


    (4) CVE-2013-6282
    影響版本︰linux kernel3.2.1、Linux kernel3.2.2、Linux kernel3.2.13
    Linux kernel對ARM上的get_user/put_user缺少訪問權限檢查,本地攻擊者可利用此漏洞(dong)讀寫內核內存,獲取權限提升。


    (5) /dev/msm_acdb
    高通設備漏洞(dong)


    (6) CVE-2013-2595
    /dev/msm_camera/config0高通設備MMAP漏洞(dong)chu)/p>


    (7) CVE-2013-2094
    影響版本︰linux kernel3.8.9之前開啟了PERF_EVENT的設備
    利用該(gai)漏洞(dong),通過perf_event_open系統調用,本地用戶可以獲得(de)系統的最(zui)高權限。


    (8) CVE-2015-3636
    影響設備︰2015年9月(yue)份(fen)之前的設備
    pingpong該(gai)漏洞(dong)是Linux kernel的ping套接字上存在的一個(ge)Use-After-Free漏洞(dong)chu)/p>


    (9) CVE-2014-3153
    影響設備︰2014年6月(yue)以前的設備
    漏洞(dong)利用了futex_requeue、futex_lock_pi、futex_wait_requeue_pi三個(ge)函數存在的RELOCK漏洞(dong)和REQUEUE漏洞(dong),造(zao)成了對內核棧上的數據修改。


    對設備成功(gong)提權後,會將解密的__image植入/system/priv-app目錄並命名為AndroidDaemonFrame.apk,將libgodlikelib.so提權工具庫植入/system/lib目錄。下圖提權並向系統目錄植入惡意文件。

    圖3

     

    三、AndroidDaemonFrame.apk“刷榜(bang)僵尸”分析

    AndroidDaemonFrame應用是主包解密後植入到系統目錄的應用,該(gai)應用是一款轉(zhuan)用于惡意刷榜(bang)的病毒,利用用戶設備賬戶信息作為刷榜(bang)僵尸,完(wan)成對C&C控制端指定應用的惡意刷榜(bang)。“刷榜(bang)僵尸”工作流程如下︰

    圖4

    1.“刷榜(bang)僵尸”C&C控制端配置(zhi)keywords和package_name。

    2.“刷榜(bang)僵尸”向googleplay發起認證,通過獲取的設備googleplay賬號和密碼,或authtoken。

    3. 模擬googleplay協議(yi)對目標應用搜索(suo)、瀏(liu)覽和下lue)亍/p>

    刷榜(bang)僵尸病毒在設備啟動(dong)、屏幕解鎖和網絡改變觸(chu)發BootReceiver組件執行,隨後啟動(dong)核心服務DispatcherService,該(gai)服務創建updateTask和googlePlayTask定時bi)撾瘛/p>

    圖5

     

    一分快3官网

    googlePlayTask每3小時執行一次,對配置(zhi)文件里的keywords和package_name指定的應用從GooglePlay爬(pa)取。下圖root提權重(zhong)定向設備賬戶文件。

    圖6

    病毒通過GooglePlay驗(yan)證有兩(liang)種方式,一使用authtoken,全稱authentication token,有了它病毒無須每次操作都(du)向google服務器(qi)發送(song)密碼, 執行語句︰sql.rawQuery('select type,authtoken from authtokens where type like 'com.android.vending%' and accounts_id='+ accounts_id, null);二是獲取google賬戶name、password和_id值。執行語句︰sql.rawQuery('select * from accounts where type = ?', new String []{'com.google'})。如下圖。

    圖7

    成功(gong)與google play服務器(qi)連(lian)接後,通過配置(zhi)文件提供的keywords和package_name完(wan)成應用搜索(suo)、瀏(liu)覽和下lue)/p>

    圖8

    當前配置(zhi)文件如下圖,發現病毒正在對package_name是com.felink.shine的應用刷量。

    圖9

    病毒完(wan)全模擬google play下lue)匭 yi),包括(kuo)設置(zhi)cookie(AndroidId + authToken)、User-agent(AndroidDownloadManager)等,GooglePlay應用下lue)厙qing)求流程大致如下圖(https://github.com/egirault/googleplay-api/issues/30)︰

    圖10

    “刷榜(bang)僵尸”病毒的GooglePlayRequester工具類(lei)模擬了以上過程,實現google play商店應用下lue)亍/p>

    四、子(zi)包dexhostinjection.jar

    子(zi)包dexhostinjection.jar由(you)assets目錄下sdk_data文件解密得(de)到,完(wan)成了以下幾個(ge)功(gong)能︰

    一分快3官网

    解析主包傳遞的000(m_pkgname)、001(m_class_name)、002(m_sdk_data)、003(libDaemonProcess)、004(1.apk)參數,利用libDaemonProcess庫服務保活(huo),在底層執行am startservice啟動(dong)主包傳遞的service,也就是主包中的com.hostinjectionmain.control.DexService。如下圖。

    圖11

    一分快3官网

    主包004參數傳遞的應用名,並拷貝(bei)到設備sdcard/database目錄命名為5supdate.apk,同(tong)時配置(zhi)“下lue)卣rdquo;病毒相關(guan)文件,存放目錄在sdcard/database目錄下。包括(kuo)actiondown記錄包名以及啟動(dong)服務名、actionsuk應用最(zui)近一次運行時間、install.ab服務器(qi)推(tui)廣應用安裝情況(kuang)、mychannel應用渠(qu)道,這些文件數據全部都(du)AES加(jia)密存放。Actiondown記錄下lue)卣 《景約叭 kou)服務。

    actiondown:{'downLoadPackageName':'com.android.ucgmap','downLoadVersionKey':1,'downLoadStartMethod':'com.android.ucgmap/com.android.ucgmap.AimService”}

    一分快3官网

    子(zi)包動(dong)態注(zhu)冊監听android.intent.action.PACKAGE_ADDED、android.intent.action.USER_PRESENT消息廣播。處理(li)包安裝完(wan)畢消息,若此次安裝包名是actiondown里downLoadPackageName字段記錄的“下lue)卣rdquo;病毒,讀取downLoadStartMethod字段啟動(dong)“下lue)卣rdquo;。

    圖12

    使用兩(liang)種策(ce)略(lue)誘騙用戶安裝“下lue)卣rdquo;病毒(其應用名為update),一默認模式以應用更(geng)新誘騙用戶點擊安裝;二由(you)服務器(qi)設置(zhi),彈(dan)出(chu)系統更(geng)新誘騙用戶點擊安裝。

    圖13

     4.4 子(zi)包自更(geng)新

    子(zi)包的連(lian)接並不是直接暴露的,而是做(zuo)了兩(liang)層跳板(ban)。配置(zhi)下一跳轉(zhuan)訪問地址http://dispatch.smartchoiceads.com/v2.1/2000,參數設備aid、imsi、gaid、mac(wifi),request和response數據全部AES加(jia)密。服務端會根據上傳的設備信息返回次設備對應的url地址,隨後設備會使用該(gai)地址下lue)胤穸送(song)tui)廣的應用。下圖訪問url_1(http://dispatch.smartchoiceads.com/v2.1/2000)返回加(jia)密的數據,經(jing)AES解密提取data值獲取當前設備的對應訪問的服務器(qi)地址url_2。

    圖14

    解密後的數據為︰{'upstream':'http://sdk.smartchoiceads.com'},這樣獲取了下一跳板(ban)的地址。 訪問跳板(ban)地址,下lue)亍 jia)載和運行最(zui)新版子(zi)包。 訪問服務器(qi)配置(zhi)的url_2,服務器(qi)同(tong)樣返回AES加(jia)密數據,解密後的數據如下︰

    {'solib_name':'libDaemonProcess.so','download_url':'http://u.smartchoiceads.com/sdk/HostDex_20160623163035.jar','classname':

    'com.hostinjectiondex.external.ExternalInterfaces','filename':'dexhostinjection.jar','start_method':

    'startExternalBody','solib_url':'http://u.smartchoiceads.com/sdk/libDaemonProcess_20160520175142.so','stop_method':

    'stopExternalBody','request_interval':'1800','version':'8'}。

    根據解密獲取的字段,下lue)匭擄奼鏡exhostinjection.jar包,以及lib庫,目前服務器(qi)最(zui)新版本dexhostinjection_8.jar。子(zi)包通過向主包的DexService發送(song)com.injection.action.RELOAD_DEX消息意圖,完(wan)成子(zi)包更(geng)新加(jia)載。

    圖15

    五、“下lue)卣rdquo;分析

    子(zi)包dexhostinject.jar下lue)氐supdate.apk存放位置(zhi)在sdcard/database目錄下,既是“下lue)卣rdquo;病毒安裝包,通過應用更(geng)新或系統更(geng)新誘騙用戶安裝,安裝後dexhostinject.jar啟動(dong)“下lue)卣rdquo;導出(chu)服務AimService。“下lue)卣rdquo;病毒工作流程圖如下︰

    圖16

     

    一分快3官网

    dexhostinject.jar啟動(dong)應用的參數會喚起ChatActivity組件運行。ChatActivity進行設備管(guan)理(li)激(ji)活(huo),一旦用戶激(ji)活(huo)設備管(guan)理(li),應用將很(hen)難被卸載。用戶在取消截(jie)獲設備管(guan)理(li)時,AdminReciver會進行鎖屏操作並跳轉(zhuan)到桌面(mian)。

    圖17

    一分快3官网

    一分快3官网

    1.加(jia)載target.jar子(zi)包,保護(hu)“下lue)卣rdquo;核心服務AimService不死

    2.啟動(dong)ApsService,組件ApsService是雲端song)tui)送(song)服務,注(zhu)冊時鐘(zhong)廣播每10分鐘(zhong)發送(song)廣播轉(zhuan)交給(gei)ApsAdReceiver處理(li)

    圖18

    3.onStartCommand處理(li)消息意圖,包括(kuo)︰

        a)com.injection.action.RELOAD_DEX,更(geng)新target.jar子(zi)包;

        b)com.injection.action.stopJobService,停止JobScheduler並進程自殺;

        c)-a com.android.startadmin --es isadmin true,喚起ChatActivity組件,進行激(ji)活(huo)設備管(guan)理(li)。該(gai)意圖消息是dexhostinject.jar發送(song)給(gei)AimService的。

    一分快3官网

    應用下lue)亍 滄昂推(tui)舳dong)由(you)ApsService和ApsAdReceiver聯(lian)合完(wan)成。當update應用處于後台運行,並且屏幕處于亮起狀態,“下lue)卣rdquo;向C&C服務器(qi)發起請(qing)求,下圖訪問C&C控制。

    圖19

    “下lue)卣rdquo;病毒會每隔10分鐘(zhong)訪問http://www.gamecpi.com/tapcash/com.android.ucgmap/control.json,返回數據結構如下。

    { 'isOpened':true, 'isOpenHideNativeAd':true, 'fid':'', 'fnid':'558734714274962_641985812616518', 'aid':'ca-app-pub-2499265864844132/2514086206', 'bnid':660078, 'solaid':5011, 'soltid':1000171, 'ad_interval':10, 'no_ad_start':0, 'no_ad_end':6}

    該(gai)數據結構信息是當前推(tui)廣應用的信息,隨後通過消息handler轉(zhuan)交給(gei)startAdWork函數處理(li)。

    圖20

     

    每隔120分鐘(zhong)請(qing)求控制端下lue)贗tui)廣應用,http://www.gamescpa.com/SDKManager/cpa/downloadlink.php?country=cn&packageName=com.android.ucgmap,C&C控制端返回推(tui)送(song)的應用信息,包括(kuo)packgae(應用包名)、url(應用下lue)亓唇、size(應用大小),返回數據轉(zhuan)交給(gei)消息handler處理(li),進行應用下lue)匕滄啊/p>

    圖21

    再配bin)現 白zhu)冊的時鐘(zhong)廣播ApsAdReceiver,完(wan)美(mei)完(wan)成推(tui)廣應用啟動(dong)。

    圖22

     

    六、 病毒sha1:

          01b3e575791642278b7decf70f5783ecd638564d       5900fabbe36e71933b3c739ec62ba89ac15f5453       7ebdd80761813da708bad3325b098dac9fa6e4f5       ea781498268ced8dbb892d02aeaad23f4b87a510       44e81be6f7242be77582671d6a11de7e33d19aca       34b7b38ce1ccdd899ae14b15dd83241584cee32b       74a55e9ea67d5baf90c1ad231e02f6183195e564       4e5af777fe28f450a670e789b23fb3669dc6e6b6       d59f97297de38db7f85349c9486413e914ff35b5       b219db613284a3dd0e87edea67da744be59e7732       9b9109ecfa38d9664084a513392ffc3f41349f02       2b1da376212e63cb25a19900642c4bbca6e49c01       18d9546193a354aec0c76d141dd66fbf99181bad       63c20ee3c1e1b39921d2b3d86aade39de738ea9b       5d2a08d7c1f665ea3affa7f9607601ffae387e8b       70105591ea9f2b42534062278f31dbf9788575b3       34b7b38ce1ccdd899ae14b15dd83241584cee32b       78e9c7e0510b0c28abf28dd46910ab14c56ab4df       88745ecb3114fc0539ca05db388e1c77d3e76109       885fe0dca39d0fe281aad78cbce2fb73f27f3aea       50bdc0195ed3c6f9909e62d4926f26d312cc39fa

    七、總結

    該(gai)病毒應用通過版本更(geng)新,進行惡意版本下發,在完(wan)成“刷榜(bang)僵尸”和“下lue)卣rdquo;病毒後又(you)利用版本更(geng)新替biao)懷上呱習(xi)踩 奼荊 鞜嗽詬鞔笥τ檬諧chang)上期存biao)睢0 鏌貧dong)安全同(tong)學建議(yi),用戶下lue)卮死lei)App請(qing)認準大廠(chang)商品(pin)牌應用;謹慎(shen)點擊軟件內的推(tui)送(song)廣告;來源不明的應用不要隨意點擊;請(qing)定期使用阿里錢盾等手機安全軟件查殺病毒。

    作者︰逆巴、如凌@阿里聚安全,更(geng)多技(ji)術(shu)文章(zhang),請(qing)訪問阿里聚安全博客

延you)煸畝粒/h3>

About IT165 -廣告服務 -隱私聲(sheng)明 -版權申明 -免責條款 -網站地圖 -網友(you)投稿 -聯(lian)系方式
本站內容(rong)來自于互聯(lian)網,僅(jin)供用于網絡技(ji)術(shu)學習(xi),學習(xi)中請(qing)遵循相關(guan)法律(lv)法規
一分快3官网 | 下一页