作者：錢盾反詐實驗室

0x1.背景

近期，錢盾反詐實驗室通過錢盾惡意程式碼智慧監測引擎感知並捕獲一批惡意應用。由於該批病毒會聯網載入“CWAPI”外掛，故將其命名為“DowginCw”病毒家族。“DowginCw”通過外掛形式整合到大量兒童遊戲應用中，然後通過釋出於各大應用商店或強制軟體更新等手段，將惡意程式碼植入使用者手機裝置中，使用者一旦執行，裝置將不停下載、安裝其他惡意應用，直接造成使用者手機卡頓，話費資損，個人隱私洩漏等風險等。

“DowginCw”能上架知名應用商店和長期駐留使用者裝置，是因為它使用了一套成熟的免殺技術，利用這套技術，免殺病毒可在殺軟面前肆無忌憚地實施惡意行為而不被發現，其免殺技術手段包括：程式碼加固保護、外掛化，以及程式碼延遲載入。

0x2.影響範圍

相關資料表明，早在去年10月“DowginCw”病毒家族應用就上架應用商店。其中幾款應用下載量甚至高達3千萬，疑似存在刷榜，刷量和刷評分，來誘騙使用者下載。

目前，錢盾反詐實驗室已攔截查殺“DowginCw”病毒家族2603款應用。下圖近兩月病毒感染裝置次數已達93w，平均每日感染使用者過萬，共計感染87w使用者裝置。

下表感染使用者top10的應用。

應用名	包名	感染量
魔仙公主換裝	com.cocoplay.iceskater	107543
大球吃小球燒烤	com.mahjong.sichuang	39403
魔仙公主裝扮遊戲	com.colorme.game.gongzhuhuayuano	28339
巴拉拉公主蛋糕	com.fcl.anaadwqra	22798
奇妙蛋糕屋遊戲	com.qiyou.kxct_MM	19951
小芭比公主遊戲	air.com.empiregames.fungirlgames	14619
公主化妝和換裝	com.cocoplay.ryenpncocoiceprincess_googleplay	12940
葉蘿莉美甲師（免費版）	com.fc.mhklmjslnad	12249
可愛公主醫生小遊戲	com.andromo.dev249143.app236834	12058
叢林髮型製作世界	com.fancywing.s3	11697

0x3惡意樣本分析

對“DowginCw”病毒家族其中一樣本分析。

應用名：王子結婚換裝小遊戲

包名：com.brainsterapps.google.katyinternational

2.1主包解析：

首先將主包脫殼，拿到加固前程式碼。下圖主包功能模組。

l   啟動惡意程式碼；

l   從雲端獲取惡意推廣外掛資訊；

l   載入執行惡意推廣行為；

l   監聽應用安裝、網路改變，進而呼叫子包，執行惡意行為；

 

1.惡意程式碼是在入口activity的attachBaseContext被載入的，也就是應用一啟動就會載入惡意程式碼塊。為了躲避動態沙盒監測，惡意行為會延遲30s執行。

2.訪問http://mail[.]zbmcc.cn/s獲取外掛Json資料。資料如下，a:外掛包下載地址；b:版本號；c:裝置sd卡存放位置；d:惡意彈窗控制指令資料，函式call的引數。

{

       “a”: “http://d2[.]chunfeifs[.]com/jfile/ter.jar”,

       “b”: “5.0”,

       “c”: “download/br/”,

       “d”: “1=2,1;3=2;4=2,1;7=3,2,1,30;8=1,1;”

}

3.外掛下載地址來自xiongjiong[.]com或chunfeifs[.]com。成功下載後，隨後動態載入ter5.0.jar，並反射執行“init”方法完成惡意推廣行為初始化，下圖“CWAPI”的靜態程式碼塊，可知DowginCw的彈窗方式。

最後主包通過反射執行子包“call”函式啟動惡意推廣。

4.應用安裝成功、網路改變廣播監聽，通過反射呼叫子包LCReceiver類onReceive函式實現。

2.2子包惡意推廣

下圖子包工作圖：

設定惡意推送模式和定時彈應用安裝提示窗的指令資料，來自mail[.]zbmcc[.]cn返回的json資料中的b欄位值，例如資料指令“1=2,1;3=2;4=2,1;7=3,2,1,30;8=1,1;”會開啟以下3種推送模式和設定彈應用安裝提示視窗定時器：

內插輪番，在指定的間隔時間在主包應用視窗彈推送窗；

解鎖，裝置解鎖彈推送窗；

外插輪番，在指定的間隔時間在任意應用視窗彈推送窗；

“DowginCw”每發起一次惡意推送，都會從go[.]1mituan[.]com獲取加密的待推送應用資料。

經解壓解密可獲取資料如下，包括應用編號、彈窗圖片地址、推送應用下載地址：

為了能夠在裝置解鎖，任意應用介面彈窗，病毒需要獲取當前執行Activity例項。“DowginCw”通過反射獲取ActivityThread中所有的ActivityRecord，從ActivityRecord中獲取狀態不是pause的Activity。

成功彈出惡意推廣窗，使用者觸屏圖片區域，甚至點選“取消”也會下載準備的應用。

安裝提示窗也是定時執行，若監測到下載應用沒被安裝，則會彈窗誘導使用者安裝應用。當應用成功安裝，LCReceiver會接受處理“android.intent.action.PACKAGE_ADDED”廣播，實現應用自啟動。如此環環相扣，完成一個又一個惡意應用植入使用者裝置。

我們發現惡意推送的應用全部來自域名：xiongjiong[.]com和youleyy[.]com，下載的應用以偽裝成遊戲和色情類app為主，大部分屬於SmsPay家族（啟動傳送扣費簡訊），部分Rootnik家族（root裝置向系統目錄注入惡意應用）,下表部分推送應用:

應用名

包名

我的世界

com.xiaodong.android.mc.chwan0724

絕地求生

il.fhatiazsfv.f.k2be42121f2539.f9b1

復仇者聯盟

com.union.theavenger20713

貪吃蛇大作戰

yoq.yvlha.tfyz.HX2017_728

私密空間

com.simsiskongj20088ian.cdsqcgpmdpfm

女神來了

ymju567_thjtyu.juki

我的安吉拉

bgbg_67_n_6666.ghgyh

越野飆車

com.kkpo.iibs61108

我的世界

cdf.khyhkgdgd.lfdbvbhbngx

0x4黑色產業鏈分析

如下圖所示，由制馬人、廣告平臺、多渠道分發、轉賬洗錢構成了“DowginCw”黑色產業鏈的關鍵環節。

其中制馬人團隊負責開發維護，以及免殺處理，目前病毒已迭代到5.0版本，特點包括：能以外掛形式整合到任意app；程式碼延遲載入，由雲端下發惡意外掛；字串加密，程式碼強混淆等技術，可見“DowginCw”開發團隊專業度之高。“廣告平臺”角色是“DowginCw”病毒的主要賺錢方式，通過在黑市宣傳推廣能力，以成功下載應用或成功安裝病毒木馬收費。“多渠道分發”團隊在整個鏈條中處於相對核心的地位，通過與某些應用合作，成功整合“DowginCw”外掛，致使能上架知名應用商店。從實際運作來看，整個圈子除了上述幾個重要角色外，一些環節還會有其他黑產人員參與其中，比如上架應用商店後，想要讓app曝光誘騙使用者下載，會請專業人員進行刷榜，刷量，涮好評。

Ox5團伙溯源

我們通過錢盾惡意程式碼智慧監測引擎，從“DowginCw”病毒家族中提取出如下C&C地址：zbmcc.cn、smfoja.cn、typipe.cn、unfoot.com、yuchanglou.com.cn、inehzk.cn、chunfeifs.com、xiongjiong.com.cn、1mituan.cn、elianke.cn、youleyy.com、cd.zciec.com。從域名的註冊郵箱分析，可挖掘出該產業鏈部分人員，如下圖所示。

分析發現：

1、黑產團伙使用ailantian198*@126.com、lantian198*@foxmail.com、30854789*@qq.com作為“DowginCw”域名地址的公共郵箱，並使用這些郵箱註冊大量其他惡意域名。

2、其團伙成員包括：黃某、餘某、程某、石某、齊某等9名成員，其中黃某負責平臺推廣；餘某負責已註冊的老域名購買；石某和齊某疑是病毒外掛開發人員；其餘人員屬於下游工作者。

3、根據該團伙黃某，石某在公網洩漏的QQ賬號308547893@qq.com，21543345@qq.com，發現團伙的“根據地”應該在福建。

0x6清理方案

目前，錢盾全面支援“DowginCw”病毒家族清理；建議使用者開啟全盤掃描模式，清理下載的惡意應用安裝包。

本文由阿里聚安全釋出，轉載請註明出處。

http://jaq.alibaba.com/community/art/show&articleid=1283