作者:
騰訊電腦管家
·
2015/10/17 7:37
長期以來,色播類App屢見不鮮,其背後是巨大的金錢利益,是病毒主要棲息之地。為了保護使用者切身利益,騰訊手機管家長期以來對此類病毒進行及時查殺。
色播類病毒每日感染使用者數如下圖所示,感染使用者數在週末日與假日期間尤為嚴重
為了進行有效的查殺,我們對色情類病毒進行實時的監控。以某約愛色播影片為例,下圖所示,晚上8點後會進行爆發,每小時以千為單位,庫中總量達80萬。
美玉在外,敗絮其中,此類色播病毒常以美女色情圖片或者影片來誘導使用者安裝,不斷提示使用者安裝難以解除安裝的惡意外掛,進行廣告的推送,甚至在後臺靜默下載安裝應用和傳送扣費簡訊,給使用者造成很大的影響
色播病毒執行的流程如下圖所示:
0x01 色播類病毒主要行為分析
1.1 透過繼承Application來解密Dex,隱藏真正的Dex來躲避查殺
1.2 解密Dex:
透過包名中的數字截斷來確定需要解密的檔案的名稱,此時檔名為26a6.fdc
解密後的Dex名稱由:Md5加密(包名+”.Core”)+“.apk”組成
1.3 透過DexClassLoader載入Dex,讀取資源解密釋放出檔案:
命名方式為:MD5加密(包名+“.original”+versionCode),此時的檔案為一個Loader
1.4 Loader聯網獲取惡意外掛:
01f61033344309ee8aa69bfab53f8196.apk即為Loader,
包com.jmedia.loader.ad的函式AdApkHandler為載入外掛函式
1) 聯網獲取資料,配置廣告檔案config_ad.xml
2) 讀取json資料,透過解密字串獲得需要的欄位downloadurl,filesize,outStartActivity等
對應的字串
解密函式主要過程:將金鑰 進行MD5 加密,取前17位作為AES解密的key
解密函式如下:
3)寫SharedPreferences檔案config_ad.xml,內容如下
4)獲取到config_ad.xml的downloadUrl下載解密
下載到的檔案ad20150513.apk檔案,命名為game.properties, 該檔案為加密檔案,讀取config_ad.xml的secretKey進行AES解密,釋放解密後的檔案到sdcard中的SAdAssets目錄下,命名為game20141210.apk,該檔案即為我們要的com.android.system.contact.app推廣的APP
其中config_ad.xml中的欄位:outStartActivityAction, outStartActivity , serviceClassName 為需要啟動的元件資訊
1.5 推廣的com.android.system.contact.app
主要行為
- 啟用裝置管理器
- 監聽裝置管理器DeviceAdminReceiverm,當使用者禁用時,返回字串:“取消啟用將導致手機系統不穩定,部分安卓程式無法執行”,且記錄是否禁用
- 聯網下載推廣資訊,banner廣告,懸浮窗廣告,推送訊息等
0x02 色播類病毒追蹤
2.1批次生成靈活配置後臺進行推廣:色播類病毒中含大量重打包的應用,其推廣應用可靈活配置
1)根據Manifest配置檔案的Appid來決定訪問的網址
2) 後臺含需要推廣的應用,及其誘導資訊
2.2 靜默傳送簡訊或者誘導點選來達到扣費的效果,以雲端控制的方式返回 待傳送簡訊和號碼,此種方式能控制傳送任意簡訊內容
1)除了偷偷傳送簡訊,還會以誘惑性或者模糊的詞來誘導使用者進行點選
2)以雲控的方式來控制簡訊內容
2.3我們在實時監控的過程中,發現色播類病毒和大量外掛,App捆綁相關聯,可見病毒作者在開發時,在捆綁的測試也下過不少功夫。
0x03 色播偽裝的羊皮
色播類病毒在隱藏偽裝方面也著實下了不少功夫
1. 將推廣應用或者dex偽裝成so,mp3等各種格式
實際上Media.mp3為Apk檔案,如下圖所示
2. 少量使用主流加固,大多數透過私有加固,加解密的方式來躲避查殺,並且使用公開的隱藏Apk方式
1) 如下圖所示,樣本為dex檔案,但其資料的尾部隱藏著一個APK檔案
2) 直接以字串的形式儲存在字串中,進行解密寫檔案
偽裝成正常的類名
透過So來呼叫android程式碼下載外掛,色播逐步轉向Native層將成為一大趨勢
0x04 總結
色播類的樣本使用各種偽裝,加解密的方式的手段來載入惡意程式碼,此種透過雲端控制、外掛化載入的方式,可達到載入各種惡意app,並且含推廣應用,推送訊息,惡意扣費的行為,將對用使用者造成很大的影響。
0x05 解決方案與安全建議
- 使用騰訊手機管家可進行精確的查殺與防禦
- 健康上網,不安裝來歷不明的應用軟體
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!