1、腾讯御安全深度解析新型流量盗刷病毒家族【 关键词:腾讯御安全,APK 漏洞扫描, 应用安全, 应用漏洞】近期,腾讯安全反诈骗实验室的新一代 AI 引擎 TRP,基于应用行为、网络行为等维度进行人工智能学习训练,从海量 APK 文件检出一款新型流量盗刷病毒家族,其开发者嚣张留下痕迹称其为“ /evil/invisible”我们将其命名为“ 隐匿恶魔”。腾讯御安全发现,该病毒一旦进入用户设备后,其内置云控模块就会下发云控指令控制用户设备执行后台模拟广告点击等非法操作!前言, 神羊情报分析平台“揪出”幕后黑手神羊是腾讯御安全技术支持腾讯安全联合实验室研发的一款情报分析系统,输入病毒样本相关的 IP、
2、域名、电话号码或邮箱等线索,就能对线索进行溯源分析并呈现整合结果。当确认某 SDK 模块是恶意行为发起方,我们通过神羊定位到名为上海柚稻信息技术有限公司与此事有关。我们已将相关线索提交给相关部门评估处理,目前用户可以通过手机管家进行拦截查杀。一、 AI 引擎聚类关联发现:多款正规应用被重打包该恶意病毒家族通过 SDK 代码集成、应用重打包等方式嵌入各类流行应用中,然后通过应用市场、软件下载站、线下手机店等渠道安装到用户手机;不仅多米音乐等多款流行应用都不慎被植入“隐匿恶魔” ,某应用市场 PC 版及非官方ROM 也成为了病毒的植入渠道,根据神羊情报,该家族主要通过几种方式大量传播:伪装成系统应
3、用并通过某些 PC 应用市场模块进行线下推广 通过非官方 ROM 植入用户手机 通过合作植入到一些流行应用中 通过重打包流行应用然后诱导用户下载二 、详细分析报告如下:1.样本基本信息应用名:系统设置包名:com.android.system.settings证书:ECC18BE38235706A4A46B96568C57A0D恶意行为:主要访问域名:任务下发域名 api.jsi*.com广告下发域名 a.you*(注册公司为“上海柚稻信息技术有限公司”)api.miss*(可下发安装 APK)api.orange*(可下发安装 APK)涉及部分广告 URL:2.模拟广告点击流程分析样本通过
4、WebView 加载 HTML 页面,并注入 invisible.js 到页面中,并提供模拟点击、滑动操作的接口。样本从服务器拉取广告任务,通过动态构造 HTML元素加载广告,并点击广告,必要时由 Java 代码实现模拟点击、滑动操作。1) 通过 WebView 加载 URL,http:/api.jsi*.com/evil/invisible.html,并通过 loadUrl 注入 http:/api.jsi*.com/evil/invisible.js图 加载 HTML图 注入 js2)请求广告广告加载主要由 http:/api.js*.com/evil/invisible.html 完成初
5、始化任务列表:任务列表:任务字段含义:根据任务列表,向 a.youe* 请求广告信息:广告请求的设备信息由 Java 代码提供。3)加载广告广告请求返回如下 JSON:根据 impression_monitor_url 创建 HTML 元素:4)模拟点击点击操作实质上是通过访问广告请求的 click_url 实现: 如果是 apk,则调用 Java 代码下载:Java 代码:创建 HTML 元素:访问 URL:5)针对百度提供的广告页面,模拟滚动后点击相应标签:3.模拟 Google Play Store样本内包含了 Google 账号,并可模拟 Google Play 下载并安装应用,并模拟
6、Google Play 发送 Google Play Install Referrer,启动应用。可以达到刷量的目的。1)内置 Google 账号应用内置了 Play Store 相关配置,也可通过 JS 代码下发。包含明文的 Google账号密码:账号和密码可动态更新:2)从 Play Store 下载应用首先获得认证的 Token:获得文件下载地址并保存:下载 APK 文件并安装:3)启动应用可以由服务端启动应用,对应的 Java 接口函数为 loadAppF()、startApp()。两者的区别在于 startApp()会模拟 Google Play 发送 Google Play Ins
7、tall Referrer。Referrer 被应用用于追踪安装行为,包括安装源和与之相关的广告事件。模拟 Referrer 可视为模拟 Google Play 安装应用。启动应用过程如下:函数 loadLPPage()可受控打开某个 URL 获得 Referer服务端控制调用 startApp()启动应用:发送 Referer:4.关键函数接口由 2.2 分析可知,样本加载分别 HTML 文件和 JS,http:/api.jsi* HTML 文件提供模拟点击广告的功能,JS 文件提供模拟点击 API 接口。JS 文件提供的接口与此对应 Java 代码通过 WebView.addJavascr
8、iptInterface 函数使得 JS 代码可以调用如下 Android 代码:5.有 root 权限的情况下静默安装6.启动浏览器访问指定页面loadLPPage()除了获得 Google Play Install Referrer 之外,还可以使用浏览器打开指定 URL:三、 样本传播渠道通过 AI 引擎网络行为分析发现,其任务还可通过以下三个同功能服务器进行下发:api.oy*.com42.51.2*.14api.Ig*.com1.线下传播渠道我们发现一款名为 USBHelper 的部分版本也被植入 EvilJS 隐匿者恶意代码其推广渠道可能为线下及 ROM:2.知名应用通过 SDK
9、集成通过腾讯反诈骗实验室大数据分析发现,多米音乐 6.7.5 6.8.7(最新版本)的版本包含有该恶意 SDK 模块。多米音乐 6.7.5 仅部分样本包含该恶意 SDK,到 6.8.7 版本,所有样本均包含该恶意 SDK。最新版本的用户数 88W+。此外,爱上 Radio(InternetRadio.all)、超级瑞士军刀(com.utooo.android.knife.free)也包含该恶意 SDK。3.知名应用/游戏重打包含有该恶意 SDK 的重打包应用(用户量较大的样本):含有该恶意 SDK 的游戏(用户量较大的样本):4.色情应用集成部分色情样本也包含该恶意 SDK。关于腾讯安全反诈骗
10、实验室腾讯安全反诈骗实验室系中国首个安全实验室矩阵腾讯安全联合实验室旗下的子实验室之一,与科恩实验室、玄武实验室、湛泸实验室、云鼎实验室、反病毒实验室、移动安全实验室,共同组成体系性的安全解决方案,专注安全技术研究及安全攻防体系搭建,安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域。其中,腾讯御安全专注于个人和企业移动应用开发者的应用安全服务,拥有丰富的漏洞特征与病毒库,能够全面覆盖已知漏洞,可对 99%的应用进行漏洞风险扫描;同时,应用加固服务具有防篡改、防逆向、防调试功能,应用在加固发布后,有效防止应用被二次打包,不被攻击。作为联合业界一起基于大数据的方法,构建基
11、于终端、管道和云端全覆盖的创新黑产分析和阻击模式的研究中心,腾讯安全反诈骗实验室目前以安全云库,智能反诈骗引擎,反诈骗专家智库三大核心利器守护网络安全。不断深耕安全能力的同时,腾讯安全反诈骗实验秉承开放、联合、共享持续赋能社会各界。在刚刚过去的 2017 年中,腾讯安全反诈骗实验室先后与国家食药总局、国家工商总局、北京市金融工作局、深圳市金融办达成战略合作,共同探索政企合作打击黑产模式,并创建互联网食药大数据监管指数平台、网络传销态势感知平台、大数据金融安全监管科技平台,协助国家政府职能机构提升在食药安全、反传销、反金融欺诈等领域的监管能力。同时为了更加高效地打击愈来愈“产业化、智能化、国际化”的网络犯罪,腾讯安全反诈骗实验室通过灵鲲、神侦、网络态势感知、鹰眼、麒麟、神羊、神荼等十余款反诈骗产品共同组建而成的反诈骗智慧大脑,构建了全链条的防护体系,能够在诈骗的事前、事中以及案情分析等关键环节起到作用,为警方以及金融、食品药监、通讯等监管部门提供了全方位的人工智能+大数据反诈骗体系。
