【技术分析】DowginCw病毒家族解析

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
.cn 域名,1个 12个月
全局流量管理 GTM,标准版 1个月
简介:

作者:钱盾反诈实验室


0x1.背景

近期,钱盾反诈实验室通过钱盾恶意代码智能监测引擎感知并捕获一批恶意应用。由于该批病毒会联网加载“CWAPI”插件,故将其命名为“DowginCw”病毒家族。“DowginCw”通过插件形式集成到大量儿童游戏应用中,然后通过发布于各大应用商店或强制软件更新等手段,将恶意代码植入用户手机设备中,用户一旦运行,设备将不停下载、安装其他恶意应用,直接造成用户手机卡顿,话费资损,个人隐私泄漏等风险等。

“DowginCw”能上架知名应用商店和长期驻留用户设备,是因为它使用了一套成熟的免杀技术,利用这套技术,免杀病毒可在杀软面前肆无忌惮地实施恶意行为而不被发现,其免杀技术手段包括:代码加固保护、插件化,以及代码延迟加载。


0x2.影响范围

相关数据表明,早在去年10月“DowginCw”病毒家族应用就上架应用商店。其中几款应用下载量甚至高达3千万,疑似存在刷榜,刷量和刷评分,来诱骗用户下载。

目前,钱盾反诈实验室已拦截查杀“DowginCw”病毒家族2603款应用。下图近两月病毒感染设备次数已达93w,平均每日感染用户过万,共计感染87w用户设备。

下表感染用户top10的应用。

应用名

包名

感染量

魔仙公主换装

com.cocoplay.iceskater

107543

大球吃小球烧烤

com.mahjong.sichuang

39403

魔仙公主装扮游戏

com.colorme.game.gongzhuhuayuano

28339

巴拉拉公主蛋糕

com.fcl.anaadwqra

22798

奇妙蛋糕屋游戏

com.qiyou.kxct_MM

19951

小芭比公主游戏

air.com.empiregames.fungirlgames

14619

公主化妆和换装

com.cocoplay.ryenpncocoiceprincess_googleplay

12940

叶萝莉美甲师(免费版)

com.fc.mhklmjslnad

12249

可爱公主医生小游戏

com.andromo.dev249143.app236834

12058

丛林发型制作世界

com.fancywing.s3

11697


0x3恶意样本分析

对“DowginCw”病毒家族其中一样本分析。

应用名:王子结婚换装小游戏

包名:com.brainsterapps.google.katyinternational


2.1主包解析:

首先将主包脱壳,拿到加固前代码。下图主包功能模块。

l   启动恶意代码;

l   从云端获取恶意推广插件信息;

l   加载执行恶意推广行为;

l   监听应用安装、网络改变,进而调用子包,执行恶意行为;

 

1.恶意代码是在入口activity的attachBaseContext被加载的,也就是应用一启动就会加载恶意代码块。为了躲避动态沙盒监测,恶意行为会延迟30s执行。


2.访问http://mail[.]zbmcc.cn/s获取插件Json数据。数据如下,a:插件包下载地址;b:版本号;c:设备sd卡存放位置;d:恶意弹窗控制指令数据,函数call的参数。

{

       "a": "http://d2[.]chunfeifs[.]com/jfile/ter.jar",

       "b": "5.0",

       "c": "download/br/",

       "d": "1=2,1;3=2;4=2,1;7=3,2,1,30;8=1,1;"

}

3.插件下载地址来自xiongjiong[.]com或chunfeifs[.]com。成功下载后,随后动态加载ter5.0.jar,并反射执行“init”方法完成恶意推广行为初始化,下图“CWAPI”的静态代码块,可知DowginCw的弹窗方式。

最后主包通过反射执行子包“call”函数启动恶意推广。

4.应用安装成功、网络改变广播监听,通过反射调用子包LCReceiver类onReceive函数实现。


2.2子包恶意推广

下图子包工作图:

设置恶意推送模式和定时弹应用安装提示窗的指令数据,来自mail[.]zbmcc[.]cn返回的json数据中的b字段值,例如数据指令“1=2,1;3=2;4=2,1;7=3,2,1,30;8=1,1;”会开启以下3种推送模式和设定弹应用安装提示窗口定时器:

内插轮番,在指定的间隔时间在主包应用窗口弹推送窗;

解锁,设备解锁弹推送窗;

外插轮番,在指定的间隔时间在任意应用窗口弹推送窗;

“DowginCw”每发起一次恶意推送,都会从go[.]1mituan[.]com获取加密的待推送应用数据。

经解压解密可获取数据如下,包括应用编号、弹窗图片地址、推送应用下载地址:

为了能够在设备解锁,任意应用界面弹窗,病毒需要获取当前运行Activity实例。“DowginCw”通过反射获取ActivityThread中所有的ActivityRecord,从ActivityRecord中获取状态不是pause的Activity。

成功弹出恶意推广窗,用户触屏图片区域,甚至点击“取消”也会下载准备的应用。

安装提示窗也是定时执行,若监测到下载应用没被安装,则会弹窗诱导用户安装应用。当应用成功安装,LCReceiver会接受处理“android.intent.action.PACKAGE_ADDED”广播,实现应用自启动。如此环环相扣,完成一个又一个恶意应用植入用户设备。

我们发现恶意推送的应用全部来自域名:xiongjiong[.]com和youleyy[.]com,下载的应用以伪装成游戏和色情类app为主,大部分属于SmsPay家族(启动发送扣费短信),部分Rootnik家族(root设备向系统目录注入恶意应用),下表部分推送应用:

应用名

包名

我的世界

com.xiaodong.android.mc.chwan0724

绝地求生

il.fhatiazsfv.f.k2be42121f2539.f9b1

复仇者联盟

com.union.theavenger20713

贪吃蛇大作战

yoq.yvlha.tfyz.HX2017_728

私密空间

com.simsiskongj20088ian.cdsqcgpmdpfm

女神来了

ymju567_thjtyu.juki

我的安吉拉

bgbg_67_n_6666.ghgyh

越野飙车

com.kkpo.iibs61108

我的世界

cdf.khyhkgdgd.lfdbvbhbngx


0x4黑色产业链分析

如下图所示,由制马人、广告平台、多渠道分发、转账洗钱构成了“DowginCw”黑色产业链的关键环节。

其中制马人团队负责开发维护,以及免杀处理,目前病毒已迭代到5.0版本,特点包括:能以插件形式集成到任意app;代码延迟加载,由云端下发恶意插件;字符串加密,代码强混淆等技术,可见“DowginCw”开发团队专业度之高。“广告平台”角色是“DowginCw”病毒的主要赚钱方式,通过在黑市宣传推广能力,以成功下载应用或成功安装病毒木马收费。“多渠道分发”团队在整个链条中处于相对核心的地位,通过与某些应用合作,成功集成“DowginCw”插件,致使能上架知名应用商店。从实际运作来看,整个圈子除了上述几个重要角色外,一些环节还会有其他黑产人员参与其中,比如上架应用商店后,想要让app曝光诱骗用户下载,会请专业人员进行刷榜,刷量,涮好评。


Ox5团伙溯源

我们通过钱盾恶意代码智能监测引擎,从“DowginCw”病毒家族中提取出如下C&C地址:zbmcc.cn、smfoja.cn、typipe.cn、unfoot.com、yuchanglou.com.cn、inehzk.cn、chunfeifs.com、xiongjiong.com.cn、1mituan.cn、elianke.cn、youleyy.com、cd.zciec.com。从域名的注册邮箱分析,可挖掘出该产业链部分人员,如下图所示。

分析发现:

1、黑产团伙使用ailantian198*@126.com、lantian198*@foxmail.com、30854789*@qq.com作为“DowginCw”域名地址的公共邮箱,并使用这些邮箱注册大量其他恶意域名。

2、其团伙成员包括:黄某、余某、程某、石某、齐某等9名成员,其中黄某负责平台推广;余某负责已注册的老域名购买;石某和齐某疑是病毒插件开发人员;其余人员属于下游工作者。

3、根据该团伙黄某,石某在公网泄漏的QQ账号308547893@qq.com,21543345@qq.com,发现团伙的“根据地”应该在福建。


0x6清理方案

目前,钱盾全面支持“DowginCw”病毒家族清理;建议用户开启全盘扫描模式,清理下载的恶意应用安装包。


本文由阿里聚安全发布,转载请注明出处。

http://jaq.alibaba.com/community/art/show&articleid=1283

相关文章
|
27天前
|
机器学习/深度学习 人工智能 自然语言处理
AI技术深度解析:从基础到应用的全面介绍
人工智能(AI)技术的迅猛发展,正在深刻改变着我们的生活和工作方式。从自然语言处理(NLP)到机器学习,从神经网络到大型语言模型(LLM),AI技术的每一次进步都带来了前所未有的机遇和挑战。本文将从背景、历史、业务场景、Python代码示例、流程图以及如何上手等多个方面,对AI技术中的关键组件进行深度解析,为读者呈现一个全面而深入的AI技术世界。
112 10
|
10天前
|
自然语言处理 文字识别 数据处理
多模态文件信息抽取:技术解析与实践评测!
在大数据和人工智能时代,企业和开发者面临的挑战是如何高效处理多模态数据(文本、图像、音频、视频)以快速提取有价值信息。传统方法效率低下,难以满足现代需求。本文将深度评测阿里云的多模态文件信息抽取解决方案,涵盖部署、应用、功能与性能,揭示其在复杂数据处理中的潜力。通过自然语言处理(NLP)、计算机视觉(CV)、语音识别(ASR)等技术,该方案助力企业挖掘多模态数据的价值,提升数据利用效率。
31 4
多模态文件信息抽取:技术解析与实践评测!
|
4天前
|
Kubernetes Linux 虚拟化
入门级容器技术解析:Docker和K8s的区别与关系
本文介绍了容器技术的发展历程及其重要组成部分Docker和Kubernetes。从传统物理机到虚拟机,再到容器化,每一步都旨在更高效地利用服务器资源并简化应用部署。容器技术通过隔离环境、减少依赖冲突和提高可移植性,解决了传统部署方式中的诸多问题。Docker作为容器化平台,专注于创建和管理容器;而Kubernetes则是一个强大的容器编排系统,用于自动化部署、扩展和管理容器化应用。两者相辅相成,共同推动了现代云原生应用的快速发展。
34 10
|
13天前
|
域名解析 负载均衡 安全
DNS技术标准趋势和安全研究
本文探讨了互联网域名基础设施的结构性安全风险,由清华大学段教授团队多年研究总结。文章指出,DNS系统的安全性不仅受代码实现影响,更源于其设计、实现、运营及治理中的固有缺陷。主要风险包括协议设计缺陷(如明文传输)、生态演进隐患(如单点故障增加)和薄弱的信任关系(如威胁情报被操纵)。团队通过多项研究揭示了这些深层次问题,并呼吁构建更加可信的DNS基础设施,以保障全球互联网的安全稳定运行。
|
13天前
|
缓存 网络协议 安全
融合DNS技术产品和生态
本文介绍了阿里云在互联网基础资源领域的最新进展和解决方案,重点围绕共筑韧性寻址、赋能新质生产展开。随着应用规模的增长,基础服务的韧性变得尤为重要。阿里云作为互联网资源的践行者,致力于推动互联网基础资源技术研究和自主创新,打造更韧性的寻址基础服务。文章还详细介绍了浙江省IPv6创新实验室的成立背景与工作进展,以及阿里云在IPv6规模化部署、DNS产品能力升级等方面的成果。此外,阿里云通过端云融合场景下的企业级DNS服务,帮助企业构建稳定安全的DNS系统,确保企业在数字世界中的稳定运行。最后,文章强调了全链路极致高可用的企业DNS解决方案,为全球互联网基础资源的创新提供了中国标准和数字化解决方案。
|
13天前
|
缓存 边缘计算 网络协议
深入解析CDN技术:加速互联网内容分发的幕后英雄
内容分发网络(CDN)是现代互联网架构的重要组成部分,通过全球分布的服务器节点,加速网站、应用和多媒体内容的传递。它不仅提升了访问速度和用户体验,还减轻了源站服务器的负担。CDN的核心技术包括缓存机制、动态加速、流媒体加速和安全防护,广泛应用于静态资源、动态内容、视频直播及大文件下载等场景,具有低延迟、高带宽、稳定性强等优势,有效降低成本并保障安全。
56 4
|
1月前
|
机器学习/深度学习 人工智能 自然语言处理
秒级响应 + 99.9%准确率:法律行业文本比对技术解析
本工具基于先进AI技术,采用自然语言处理和语义匹配算法,支持PDF、Word等格式,实现法律文本的智能化比对。具备高精度语义匹配、多格式兼容、高性能架构及智能化标注与可视化等特点,有效解决文本复杂性和法规更新难题,提升法律行业工作效率。
|
1月前
|
数据采集 存储 JavaScript
网页爬虫技术全解析:从基础到实战
在信息爆炸的时代,网页爬虫作为数据采集的重要工具,已成为数据科学家、研究人员和开发者不可或缺的技术。本文全面解析网页爬虫的基础概念、工作原理、技术栈与工具,以及实战案例,探讨其合法性与道德问题,分享爬虫设计与实现的详细步骤,介绍优化与维护的方法,应对反爬虫机制、动态内容加载等挑战,旨在帮助读者深入理解并合理运用网页爬虫技术。
|
1月前
|
机器学习/深度学习 自然语言处理 监控
智能客服系统集成技术解析和价值点梳理
在 2024 年的智能客服系统领域,合力亿捷等服务商凭借其卓越的技术实力引领潮流,它们均积极应用最新的大模型技术,推动智能客服的进步。
85 7
|
1月前
|
调度 开发者
核心概念解析:进程与线程的对比分析
在操作系统和计算机编程领域,进程和线程是两个基本而核心的概念。它们是程序执行和资源管理的基础,但它们之间存在显著的差异。本文将深入探讨进程与线程的区别,并分析它们在现代软件开发中的应用和重要性。
62 4

推荐镜像

更多