Trustlook深度揭露插件化技術(shù)在新黑產(chǎn)生態(tài)中的濫用

4月初，Trustlook安全研究人員在使用App Insight對(duì)國(guó)內(nèi)某商店進(jìn)行常規(guī)審核時(shí)，截獲了一個(gè)名為“換機(jī)精靈”的樣本，該應(yīng)用作為一款換機(jī)工具，實(shí)則為惡意刷量木馬，截止我們發(fā)現(xiàn)樣本的當(dāng)日，該應(yīng)用在國(guó)內(nèi)各大軟件市場(chǎng)擁有高達(dá)上億次下載，以下為樣本的存檔信息：

?

該惡意軟件具備極高的威脅：

●具備遠(yuǎn)程控制的安裝任意應(yīng)用/插件并執(zhí)行的后門;

●利用沙盤技術(shù)并主動(dòng)檢測(cè)各類殺毒軟件逃避檢測(cè);

●腳本模擬點(diǎn)擊、惡意創(chuàng)建桌面快捷方式等;

●申請(qǐng)大量權(quán)限，收集設(shè)備隱私數(shù)據(jù)并傳輸?shù)絢y.5rob.com和au.goyihu.com等;

●惡意刷量，發(fā)送大量網(wǎng)絡(luò)請(qǐng)求，消耗網(wǎng)絡(luò)資源

該應(yīng)用包含了4個(gè)靜態(tài)庫(kù)以及其作用分別為：

●Libiohook.so

Virtual App核心庫(kù)，包含SubstrateHook框架，該庫(kù)暴露了大量接口給jni層用于運(yùn)行時(shí)hook。

●libHuanJi.so

SSDP協(xié)議庫(kù)，用于wlan局域網(wǎng)查找發(fā)現(xiàn)設(shè)備

●Libjpush174.so

極光推送

●libTmsdk-2.0.6-mfr.so

騰訊御安全sdk

此外該應(yīng)用在Android Manifest中不正常的申請(qǐng)了大量的權(quán)限：

包括聯(lián)系人、讀寫收發(fā)短息、通話記錄、拍照、錄音、位置、賬號(hào)、日歷、儲(chǔ)存、安裝列表等。

盡管換機(jī)類應(yīng)用需要大量的系統(tǒng)權(quán)限，但有些權(quán)限的申請(qǐng)實(shí)屬勉強(qiáng)，并存在一定的安全威脅，實(shí)際上這些權(quán)限的目的是為了保障沙盤中的惡意應(yīng)用能夠順利運(yùn)行。

該應(yīng)用運(yùn)行時(shí)，用戶并不會(huì)察覺(jué)到應(yīng)用有明顯的惡意行為，但通過(guò)流量監(jiān)控我們會(huì)發(fā)現(xiàn)幾個(gè)比較有意思的網(wǎng)絡(luò)行為：

http://ky.5rob.com/active/security/

通過(guò)該鏈接，會(huì)從服務(wù)器獲取主流殺毒軟件的列表：

這些請(qǐng)求返回了預(yù)安裝app列表:

通過(guò)返回?cái)?shù)據(jù)，我們截獲了這些應(yīng)用：

但是這些安裝包被下載之后，并沒(méi)有調(diào)用安卓系統(tǒng)自帶的包安裝管理器詢問(wèn)用戶是否進(jìn)行安裝，那么這些應(yīng)用是怎么被安裝的呢?經(jīng)過(guò)逆向工具對(duì)函數(shù)簽名的還原，我們鑒別出了該應(yīng)用使用了APP插件化框架——VirtualApp，也正是libhuanji.so所對(duì)應(yīng)的java層代碼，通過(guò)InstallPackage函數(shù)，上述的惡意軟件將被靜默安裝到應(yīng)用沙盤中并執(zhí)行，而這一切用戶卻渾然不知。

我們可以發(fā)現(xiàn)它根據(jù)服務(wù)器返回的參數(shù)security_check的配置，預(yù)先檢測(cè)了列表中的殺毒軟件是否被安裝，如果發(fā)現(xiàn)了殺毒軟件便不會(huì)安裝惡意插件，這極大的提高了自身的存活率。

這些惡意應(yīng)用在沙盤中運(yùn)行了以后，開(kāi)始頻繁的進(jìn)行網(wǎng)絡(luò)請(qǐng)求，以下為部分請(qǐng)求：

此外，我們?cè)诖a中發(fā)現(xiàn)了更多隱藏的惡意代碼：

如果服務(wù)器下發(fā)了模擬操作的腳本，在com.hj.scripter.execute.a中，會(huì)模擬操作沙盤中的應(yīng)用：

并且，在特定的條件下，使用一些功能，App將不經(jīng)用戶同意，私自下載第三方APP并安裝在沙盤中，在用戶的桌面上創(chuàng)建快捷方式。

其實(shí)，這已經(jīng)不是換機(jī)精靈第一次被人發(fā)現(xiàn)有惡意行為，傳信官網(wǎng)曾于2018年4月就已經(jīng)發(fā)布過(guò)聲明：

該聲明聲稱打包的sdk并非自己編寫，未來(lái)將嚴(yán)格管控這些問(wèn)題，但事實(shí)上真的如其所說(shuō)嗎?為何相似的惡意行為不到一年又卷土重來(lái)?

我們接下來(lái)對(duì)“換機(jī)精靈“預(yù)安裝app列表中下載的三款惡意插件進(jìn)行分析，找出“第三方sdk”的幕后黑手。

通過(guò)分析發(fā)現(xiàn)，com.cx.photo2與com.cx.photo6基本為同一APP，代碼相似度極高，在MainReceiver中，此APP啟動(dòng)時(shí)便會(huì)檢查安全軟件，如果用戶未安裝相關(guān)的安全軟件，便開(kāi)始周期執(zhí)行惡意功能并啟動(dòng)InvisibleService2服務(wù)。

在InvisibleService2 onCreate中，一個(gè)不可見(jiàn)的透明窗口被創(chuàng)建，覆蓋在所有應(yīng)用的最上層，系統(tǒng)任務(wù)欄的下層，并創(chuàng)建了一個(gè)webview用于加載網(wǎng)頁(yè)。

這樣不尋常的創(chuàng)建方式并不會(huì)被用戶察覺(jué)，在用戶使用app時(shí)，所有的屏幕觸摸，滑動(dòng)事件會(huì)同時(shí)響應(yīng)到隱藏的webview上，模擬成用戶對(duì)webview網(wǎng)頁(yè)中的操作，這樣的目的是，通過(guò)真實(shí)的用戶網(wǎng)頁(yè)瀏覽行為，欺騙廣告運(yùn)營(yíng)商的流量統(tǒng)計(jì)反作弊算法，來(lái)變相進(jìn)行刷量的目的。

然后該應(yīng)用發(fā)送請(qǐng)求到：

http://d.bjsdknet.com/index.php?r=api/dynamic

獲取了更多的刷量插件：

"http://down.dd799aa.com//upload/sdk3/cjmob20190301.jar"

"http://down.dd799aa.com//upload/sdk2/SDK31dex20190220.jar"

"http://down.dd799aa.com/upload/plog/mfgz.jar"

"http://down.dd799aa.com//upload/sdk2/sdk04dex20190218.jar"

"http://down.dd799aa.com/upload/plog/N38de20181225.jar"

這些插件將被下載并運(yùn)行，每輪任務(wù)執(zhí)行完成后又會(huì)去請(qǐng)求新的刷量sdk來(lái)下載執(zhí)行，我們對(duì)截獲的樣本進(jìn)行了逆向分析，發(fā)現(xiàn)這些插件被用來(lái)進(jìn)行廣告刷量，視頻刷量，電商產(chǎn)品推廣等不法牟利的行為。而這些行為都是在用戶不知情的情況下運(yùn)行的。

通過(guò)搜索引擎的搜尋，我們發(fā)現(xiàn)早在幾年前傳信科技就已經(jīng)因投放惡意軟件而多次被曝光過(guò)：

而另外一款被下載到沙盤中，名為pgy sdk就顯得更加專業(yè)了，我們沒(méi)能找到其與傳信科技的聯(lián)系，但通過(guò)對(duì)代碼的分析，發(fā)現(xiàn)大部分由pgy所下載的jar惡意插件包，均包含一個(gè)用于統(tǒng)計(jì)感染量的鏈接，網(wǎng)頁(yè)最終指向cnzz統(tǒng)計(jì)：

通過(guò)自增id的方式，在dandelionmob.com域名上，我們最終從其網(wǎng)站上找出200余個(gè)用于統(tǒng)計(jì)感染量的網(wǎng)址，這意味著惡意sdk插件包可能擁有上百個(gè)，該sdk不僅可以藏身于Virtual App沙盤中，一些正常應(yīng)用中也包含該sdk的身影，而為了避免被查殺，開(kāi)發(fā)者展現(xiàn)了自己嫻熟的免殺技巧，逃避殺毒軟件的掃描，字符串是靜態(tài)掃描的重要特征之一，對(duì)字符串的處理方式在樣本中也多種多樣，其中包括但是不限于各種字符串拆分，編碼，加密等混淆方式。而且，為了避免被使用固定的包名查殺，同樣的代碼在幾份sdk中使用了不同且無(wú)規(guī)律的包名。

今年4月份，Trustlook團(tuán)隊(duì)向該應(yīng)用商店通告了換機(jī)精靈的惡意行為，傳信科技在刷量行為敗露后，發(fā)布了新版的換機(jī)精靈應(yīng)用，清除了相關(guān)代碼并關(guān)閉了服務(wù)器接口。他們對(duì)原有的惡意代碼進(jìn)行刪減后，開(kāi)發(fā)了一款新的基于VirtualApp多開(kāi)工具—小隱大師，同時(shí)使用了360加固安全服務(wù)，盡管目前為止，我們暫未發(fā)現(xiàn)其有明確的惡意行為，但該應(yīng)用保留了之前“換機(jī)精靈”的大部分代碼，為了掩人耳目，具備極高的安全風(fēng)險(xiǎn)。而且考慮到傳信科技之前的行為，他們極有可能在風(fēng)頭過(guò)后又卷土重來(lái)。

VirtualApp作為一款應(yīng)用沙盤框架，本身沒(méi)有惡意代碼，對(duì)于運(yùn)行在沙盤中的應(yīng)用，VirtualApp模擬成了Android系統(tǒng)的Framework層，提供了一個(gè)APP運(yùn)行時(shí)所需要的環(huán)境，因此使用了沙盤技術(shù)的應(yīng)用無(wú)法避免要申請(qǐng)大量的系統(tǒng)權(quán)限，同時(shí)也具備了Hook沙盤中的應(yīng)用的能力，多被用于應(yīng)用多開(kāi)、正規(guī)應(yīng)用修改/插件版、馬甲包等，因此可以修改原應(yīng)用的正常執(zhí)行流程，盜取包括且不限于用戶的賬號(hào)密碼及各類隱私等。

Java語(yǔ)言作為一門動(dòng)態(tài)語(yǔ)言，具備完善的代碼反射機(jī)制，Android平臺(tái)得益于這項(xiàng)技術(shù)，可以在線上期通過(guò)熱更新的方式修改現(xiàn)有的程序，在改善了用戶體驗(yàn)的同時(shí)，也帶來(lái)了大量的安全隱患，惡意軟件作者同樣利用了這項(xiàng)技術(shù)威脅到了用戶的安全，通過(guò)類加載器DexClassLoader可以在運(yùn)行時(shí)加載并解釋運(yùn)行dex文件，達(dá)到隱藏惡意代碼的目的。即便用作熱更新，使用這項(xiàng)技術(shù)時(shí)，要對(duì)dex文件的完整性做校驗(yàn)，被加以利用后，很可能會(huì)導(dǎo)致惡意代碼的注入。

本文通過(guò)逆向分析換機(jī)精靈樣本，卻無(wú)意中發(fā)現(xiàn)了一個(gè)龐大的黑產(chǎn)集團(tuán)，在對(duì)相應(yīng)的SDK使用統(tǒng)計(jì)的鏈接中，Trustlook團(tuán)隊(duì)發(fā)現(xiàn)了將近300個(gè)惡意插件，實(shí)際上這還只是其冰山一角，這些插件都編寫的非常專業(yè)，而且其中運(yùn)用了各種免殺手段，由此可見(jiàn)黑產(chǎn)對(duì)怎樣使用多開(kāi)工具已經(jīng)有了很多年的積累。在上期的熱更新一文中，我們公布了最熱門的應(yīng)用中熱更新的使用比例，而在這些應(yīng)用中使用了Virtual App等多開(kāi)工具也并不罕見(jiàn)，因此應(yīng)用商店很難完全禁止這些技術(shù)在App中的使用，這就給予了黑產(chǎn)極大的便利，而普通的代碼審核也很難檢測(cè)到動(dòng)態(tài)設(shè)定的惡意行為。

單純的靜態(tài)審核或動(dòng)態(tài)沙箱都很難有效的檢測(cè)到這些惡意行為，準(zhǔn)對(duì)這種狀況，Trustlook團(tuán)隊(duì)獨(dú)立研發(fā)移動(dòng)樣本深度分析審核平臺(tái)App Insight。用戶可上傳Android APK文件，并在幾分鐘內(nèi)收到詳細(xì)的安全分析報(bào)告。App Insight使用了真實(shí)設(shè)備沙箱系統(tǒng)，通過(guò)靜態(tài)和動(dòng)態(tài)結(jié)合的分析方法發(fā)現(xiàn)各類隱藏的惡意和敏感行為，幫助安全人員和應(yīng)用商店高效的審核移動(dòng)樣本，確保移動(dòng)端用戶的隱私和數(shù)據(jù)安全。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。