美玉在外,敗絮其中——色播病毒的那些事兒

wyzsk發表於2020-08-19
作者: 騰訊電腦管家 · 2015/10/17 7:37

長期以來,色播類App屢見不鮮,其背後是巨大的金錢利益,是病毒主要棲息之地。為了保護使用者切身利益,騰訊手機管家長期以來對此類病毒進行及時查殺。

色播類病毒每日感染使用者數如下圖所示,感染使用者數在週末日與假日期間尤為嚴重

為了進行有效的查殺,我們對色情類病毒進行實時的監控。以某約愛色播影片為例,下圖所示,晚上8點後會進行爆發,每小時以千為單位,庫中總量達80萬。

美玉在外,敗絮其中,此類色播病毒常以美女色情圖片或者影片來誘導使用者安裝,不斷提示使用者安裝難以解除安裝的惡意外掛,進行廣告的推送,甚至在後臺靜默下載安裝應用和傳送扣費簡訊,給使用者造成很大的影響

色播病毒執行的流程如下圖所示:

0x01 色播類病毒主要行為分析

1.1 透過繼承Application來解密Dex,隱藏真正的Dex來躲避查殺

1.2 解密Dex:

透過包名中的數字截斷來確定需要解密的檔案的名稱,此時檔名為26a6.fdc

解密後的Dex名稱由:Md5加密(包名+”.Core”)+“.apk”組成

1.3 透過DexClassLoader載入Dex,讀取資源解密釋放出檔案:

命名方式為:MD5加密(包名+“.original”+versionCode),此時的檔案為一個Loader

1.4 Loader聯網獲取惡意外掛:

01f61033344309ee8aa69bfab53f8196.apk即為Loader,

包com.jmedia.loader.ad的函式AdApkHandler為載入外掛函式

1) 聯網獲取資料,配置廣告檔案config_ad.xml

2) 讀取json資料,透過解密字串獲得需要的欄位downloadurl,filesize,outStartActivity等

對應的字串

解密函式主要過程:將金鑰 進行MD5 加密,取前17位作為AES解密的key

解密函式如下:

3)寫SharedPreferences檔案config_ad.xml,內容如下

4)獲取到config_ad.xml的downloadUrl下載解密

下載到的檔案ad20150513.apk檔案,命名為game.properties, 該檔案為加密檔案,讀取config_ad.xml的secretKey進行AES解密,釋放解密後的檔案到sdcard中的SAdAssets目錄下,命名為game20141210.apk,該檔案即為我們要的com.android.system.contact.app推廣的APP

其中config_ad.xml中的欄位:outStartActivityAction, outStartActivity , serviceClassName 為需要啟動的元件資訊

1.5 推廣的com.android.system.contact.app 主要行為

  1. 啟用裝置管理器
  2. 監聽裝置管理器DeviceAdminReceiverm,當使用者禁用時,返回字串:“取消啟用將導致手機系統不穩定,部分安卓程式無法執行”,且記錄是否禁用
  3. 聯網下載推廣資訊,banner廣告,懸浮窗廣告,推送訊息等

0x02 色播類病毒追蹤


2.1批次生成靈活配置後臺進行推廣:色播類病毒中含大量重打包的應用,其推廣應用可靈活配置

1)根據Manifest配置檔案的Appid來決定訪問的網址

2) 後臺含需要推廣的應用,及其誘導資訊

2.2 靜默傳送簡訊或者誘導點選來達到扣費的效果,以雲端控制的方式返回 待傳送簡訊和號碼,此種方式能控制傳送任意簡訊內容

1)除了偷偷傳送簡訊,還會以誘惑性或者模糊的詞來誘導使用者進行點選

2)以雲控的方式來控制簡訊內容

2.3我們在實時監控的過程中,發現色播類病毒和大量外掛,App捆綁相關聯,可見病毒作者在開發時,在捆綁的測試也下過不少功夫。

0x03 色播偽裝的羊皮


色播類病毒在隱藏偽裝方面也著實下了不少功夫

1. 將推廣應用或者dex偽裝成so,mp3等各種格式

實際上Media.mp3為Apk檔案,如下圖所示

2. 少量使用主流加固,大多數透過私有加固,加解密的方式來躲避查殺,並且使用公開的隱藏Apk方式

1) 如下圖所示,樣本為dex檔案,但其資料的尾部隱藏著一個APK檔案

2) 直接以字串的形式儲存在字串中,進行解密寫檔案

偽裝成正常的類名

透過So來呼叫android程式碼下載外掛,色播逐步轉向Native層將成為一大趨勢

0x04 總結


色播類的樣本使用各種偽裝,加解密的方式的手段來載入惡意程式碼,此種透過雲端控制、外掛化載入的方式,可達到載入各種惡意app,並且含推廣應用,推送訊息,惡意扣費的行為,將對用使用者造成很大的影響。

0x05 解決方案與安全建議


  1. 使用騰訊手機管家可進行精確的查殺與防禦
  2. 健康上網,不安裝來歷不明的應用軟體

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章