|
|
|
|
<![CDATA[<p id="vvttv"></p>]]>
|
|
<![CDATA[<p id="vvttv"></p>]]> |
<![CDATA[<p id="vvttv"></p>]]>
<![CDATA[<pre id="vvttv"><cite id="vvttv"><progress id="vvttv"></progress></cite></pre>]]>
|
<![CDATA[<output id="vvttv"><dfn id="vvttv"><th id="vvttv"></th></dfn></output>]]>
<![CDATA[<p id="vvttv"></p>]]> |
長期以來,色播類App屢見不鮮,其背后是巨大的金錢利益,是病毒主要棲息之地。為了保護用戶切身利益,騰訊手機管家長期以來對此類病毒進行及時查殺。
色播類病毒每日感染用戶數如下圖所示,感染用戶數在周末日與假日期間尤為嚴重
為了進行有效的查殺,我們對色情類病毒進行實時的監控。以某約愛色播視頻為例,下圖所示,晚上8點后會進行爆發,每小時以千為單位,庫中總量達80萬。
美玉在外,敗絮其中,此類色播病毒常以美女色情圖片或者視頻來誘導用戶安裝,不斷提示用戶安裝難以卸載的惡意插件,進行廣告的推送,甚至在后臺靜默下載安裝應用和發送扣費短信,給用戶造成很大的影響
色播病毒執行的流程如下圖所示:
0x01 色播類病毒主要行為分析
1.1 通過繼承Application來解密Dex,隱藏真正的Dex來躲避查殺
1.2 解密Dex:
通過包名中的數字截斷來確定需要解密的文件的名稱,此時文件名為26a6.fdc
解密后的Dex名稱由:Md5加密(包名+”.Core”)+“.apk”組成
1.3 通過DexClassLoader加載Dex,讀取資源解密釋放出文件:
命名方式為:MD5加密(包名+“.original”+versionCode),此時的文件為一個Loader
1.4 Loader聯網獲取惡意插件:
01f61033344309ee8aa69bfab53f8196.apk即為Loader,
包com.jmedia.loader.ad的函數AdApkHandler為加載插件函數
1) 聯網獲取數據,配置廣告文件config_ad.xml
2) 讀取json數據,通過解密字符串獲得需要的字段downloadurl,filesize,outStartActivity等
對應的字符串
解密函數主要過程:將密鑰 進行MD5 加密,取前17位作為AES解密的key
解密函數如下:
3)寫SharedPreferences文件config_ad.xml,內容如下
4)獲取到config_ad.xml的downloadUrl下載解密
下載到的文件ad20150513.apk文件,命名為game.properties, 該文件為加密文件,讀取config_ad.xml的secretKey進行AES解密,釋放解密后的文件到sdcard中的SAdAssets目錄下,命名為game20141210.apk,該文件即為我們要的com.android.system.contact.app推廣的APP
其中config_ad.xml中的字段:outStartActivityAction, outStartActivity , serviceClassName 為需要啟動的組件信息
1.5 推廣的com.android.system.contact.app 主要行為
- 激活設備管理器
- 監聽設備管理器DeviceAdminReceiverm,當用戶禁用時,返回字符串:“取消激活將導致手機系統不穩定,部分安卓程序無法運行”,且記錄是否禁用
- 聯網下載推廣信息,banner廣告,懸浮窗廣告,推送消息等
0x02 色播類病毒追蹤
2.1批量生成靈活配置后臺進行推廣:色播類病毒中含大量重打包的應用,其推廣應用可靈活配置
1)根據Manifest配置文件的Appid來決定訪問的網址
2) 后臺含需要推廣的應用,及其誘導信息
2.2 靜默發送短信或者誘導點擊來達到扣費的效果,以云端控制的方式返回 待發送短信和號碼,此種方式能控制發送任意短信內容
1)除了偷偷發送短信,還會以誘惑性或者模糊的詞來誘導用戶進行點擊
2)以云控的方式來控制短信內容
2.3我們在實時監控的過程中,發現色播類病毒和大量插件,App捆綁相關聯,可見病毒作者在開發時,在捆綁的測試也下過不少功夫。
0x03 色播偽裝的羊皮
色播類病毒在隱藏偽裝方面也著實下了不少功夫
1. 將推廣應用或者dex偽裝成so,mp3等各種格式
實際上Media.mp3為Apk文件,如下圖所示
2. 少量使用主流加固,大多數通過私有加固,加解密的方式來躲避查殺,并且使用公開的隱藏Apk方式
1) 如下圖所示,樣本為dex文件,但其數據的尾部隱藏著一個APK文件
2) 直接以字符串的形式存儲在字符串中,進行解密寫文件
偽裝成正常的類名
通過So來調用android代碼下載插件,色播逐步轉向Native層將成為一大趨勢
0x04 總結
色播類的樣本使用各種偽裝,加解密的方式的手段來加載惡意代碼,此種通過云端控制、插件化加載的方式,可達到加載各種惡意app,并且含推廣應用,推送消息,惡意扣費的行為,將對用用戶造成很大的影響。
0x05 解決方案與安全建議
- 使用騰訊手機管家可進行精確的查殺與防御
- 健康上網,不安裝來歷不明的應用軟件
|
|
|
|
<![CDATA[<p id="vvttv"></p>]]>
|
|
<![CDATA[<p id="vvttv"></p>]]> |
<![CDATA[<p id="vvttv"></p>]]>
<![CDATA[<pre id="vvttv"><cite id="vvttv"><progress id="vvttv"></progress></cite></pre>]]>
|
<![CDATA[<output id="vvttv"><dfn id="vvttv"><th id="vvttv"></th></dfn></output>]]>
<![CDATA[<p id="vvttv"></p>]]> |