0x00 概述

---

近期，阿里移動安全團隊發現大批次色情類病毒重新開始在某些論壇或者應用市場上氾濫。和以往的色情類病毒不同的是，它們使用了更多高階的技術手段來對抗安全軟體的查殺。這類病毒具有以下特點：

1. 使用了程式碼加固技術，把惡意程式碼加密，執行後再從記憶體中解密出來；
2. 安裝後偽裝成系統元件，同時將自身安裝隱藏在系統目錄下，防止解除安裝的同時也躲避了部分安全軟體的查殺；
3. 透過雲端伺服器配置不斷建立虛假快捷方式、彈對話方塊、偽造通知欄等方式，強制推送安裝其它惡意軟體。

由於這類病毒通常使用美女圖片作為應用市場上展示的圖示，同時使用一些具有誘惑性的詞語作為應用名稱，沒有經驗的使用者極易上當受騙，因此我們將其命名為“魅影殺手”。

圖：“魅影殺手”使用的圖示和名稱

截至10月底，國內有85.3萬臺裝置感染了“魅影殺手”病毒。其中，感染最為嚴重的省份是廣東、浙江和江蘇。廣東省平均45臺裝置中就有1臺安裝了該病毒。

圖：“魅影殺手”病毒感染使用者量趨勢

圖：“魅影殺手”的感染使用者的區域分佈

0x01 技術分析

---

為了進一步瞭解“魅影殺手”的演變過程，我們分析了該病毒家族在不同時期的樣本。以下從與安全軟體的對抗、惡意行為兩個角度對該“魅影殺手”病毒的特點做了總結：

1.與安全軟體對抗

a.程式碼加固

Android加固技術的引入，確實在一定程度上解決了程式碼安全性的問題，但同時也給各種病毒木馬提供了極佳的隱藏手段。我們發現大量的“魅影殺手”樣本使用了加固技術隱藏自身，試圖躲避防毒軟體查殺。從早期的DEX可執行程式碼整體加密存放到assets目錄，演變到java層程式碼深度混淆解殼程式碼，再到目前在native層動態載入加密的惡意程式碼，說明病毒開發者也在費盡心思增加安全公司的逆向分析成本。

圖：惡意程式碼加固技術演變

圖：Native層透過DexClassLoader載入加密的惡意程式碼

同時該種加固存在大量變種，每隔一段時間將會修改so名和對應加密的jar名，native層裡的initkey也會改變。

b.防止解除安裝

為了長期駐留在使用者的手機內，這類病毒樣本還會透過偽裝成系統元件、啟用裝置管理許可權以及把自身複製到系統目錄等方式，使得使用者或者安全軟體無法透過正常方式解除安裝。

圖：啟用裝置管理許可權

2.惡意行為

a.訂購收費服務

“魅影殺手”病毒通常利用“私密快播”、“情澀影片”、“愛美熱播”等帶一些誘惑性的名稱吸引使用者點選，而在於其內建的付費模組，會在後臺暗中扣取使用者的話費，或者直接消耗流量，產生流量費。下圖對一般的危害性做了統計。從圖裡看出，對使用者危害最大的，是惡意扣費！！！

圖：色情應用危害

色情類應用大多包涵多個支付模組，各個模組之間相互聯絡，經過分析發現，某些第三方提供的支付SDK存在簡訊攔截的行為，也就是說，當使用者點選了付費之後，並不會收到扣費的確認簡訊（二次確認）。原因是因為該簡訊已經被攔截，下圖是某個支付模組中的程式碼

圖：攔截簡訊

部分色情應用甚至私自傳送扣費簡訊

圖：啟動後靜默傳送扣費簡訊

b.隱私竊取

分析過程中發現，部分惡意開發者將惡意程式碼包裝入色情應用。惡意行為包括監控簡訊彩信的接收、讀取簡訊箱內容，上傳使用者手機簡訊和聯絡人列表到駭客指定的郵件中。當駭客拿到這些資訊之後，就可以進行資訊販賣，詐騙等。下圖是分析人員拿到的某駭客的郵箱。

圖：蒐集使用者資訊

圖：讀取使用者簡訊箱的資訊

c.強制推送並安裝其它惡意軟體

對一名叫”私密快播”分析。首先監控系統啟動,隨後啟動RequestTask任務，以“發現您系統中缺少高畫質播放元件：1、突破防火牆限制，多種限制級大片供欣賞；2、快播專用通道已開通；3、更多精彩內容午夜開放，盡請期待！”誘騙使用者下載安裝，安裝之後在後臺不斷瘋狂下載惡意推送應用，並建立虛擬桌面誘導使用者安裝，消耗手機流量，非法推送惡意廣告等等。

圖：下載伺服器地址

對上圖中下載連結訪問:

“durl”欄位值是下載者連結，”title”,”desc”欄位unicode編碼,解密之後，對應下圖彈出的對話方塊文章。

圖：誘導安裝

對下載者應用，對上勾手機強行推送，整個過程包括檢視使用者下載了哪些應用，有哪些安裝執行，哪些沒有安裝執行，並不斷建立虛假快捷方式、彈對話方塊、偽造通知欄等方式引誘使用者點選安裝，最終導致手機中安裝了大量惡意軟體。服務端就是透過這種方式，知道使用者安裝執行了哪些應用，對成功推送的獲取利用。

圖：強制提醒安裝下載的應用

0x02 黑產利益鏈條分析

---

由於該類色情類APP開發和製作流程簡單，推廣成本低，並且市場空間巨大，能夠在短時間內產生經濟效益，因此吸引了大批不法分子參與其中進行利益分成，並且逐漸形成了一條完善的黑色產業鏈。色情APP的開發者透過極低的推廣費用，把樣本上傳到某些網路推廣平臺，例如小眾的android市場、應用推廣平臺、色情網站、部分遊戲或者遊戲外掛網站等。由於這類色情APP本身的誘騙特性，容易激發使用者的好奇心下載安裝。一旦成功安裝到使用者手機上，它們會在後臺偷偷訂購一些移動運營商的收費服務，同時向使用者手機推送更多惡意推廣軟體，這樣黑產一方面參與電信收費專案的提成，另一方面還獲得了更多的廣告流量分成。

以下是“魅影殺手”病毒的黑產利益鏈條：

圖：“魅影殺手”病毒的黑產利益鏈條

由於目前國內不少的應用市場逐漸加強了程式碼安全稽核，為了避免檢測出惡意程式碼後應用被下架，有專業的黑產加固團隊對惡意程式碼進行加密隱藏後再發布到應用市場。透過對樣本渠道進行分析，我們發現，為了避免身份洩露，有些病毒開發者甚至將木馬儲存到自己的伺服器上，並申請了一系列域名用於提供下載服務。

總結：“魅影殺手”病毒的黑產利益鏈條：惡意APK->藉助推廣渠道->色情網站或色情APP->引誘下載->廣告聯盟->惡意扣費。

0x03 防範以及建議

---

阿里移動安全提醒大家，為了避免中毒，我們建議大家儘量從官方網站或者可信任的Android應用市場下載手機應用，儘量不要安裝來歷不明的應用，尤其是帶有誘惑性字眼的應用更需謹慎。如果不確定手機是否中毒，可以安裝阿里錢盾等手機安全軟體，對手機上的應用進行檢測，防止高風險惡意應用的安裝。