开发者社区> 美人迟暮> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

本文来自合作伙伴“阿里聚安全”.

简介:
+关注继续查看

 2015年09月11日 15:50  7389

一, 事件起因

根据德国安全厂商GDATA放出的2015Q2移动恶意病毒报告 [1]中指出:市场上至少有26款的Android手机在卖给消费者时藏有恶意程式,受害的不乏知名品牌,包括小米3Xiaomi MI3)、华为的Huawei G510、联想的Lenovo S860Android P8ConCorde SmartPhone6500、中国的阿尔卑斯(Alps)等,这些手机品牌主要销售地区在亚洲和欧洲。据介绍,这类间谍软件主要伪装在Facebook和谷歌等流行的安卓应用程序驱动中。用户手机在没有解锁的情况下,是无法删除这些应用的。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-恶意应用-阿里聚安全

受影响的手机型号

二, 病毒样本分析

在发生此次事件后,我们第一时间联系了GDATA公司,并拿到了预装在手机中的恶意病毒样本进行分析。

样本一脸书武器刀 (facebookKatana)

包名:com.facebook.katana

MD5: 334f0a9811034dd226289aa84d202e60

SHA1: ac8d71fc4ec99b3cb9d758451048fc3d44dda62e

这个样本对facebook 1.8.4版本的apk进行了重打包。在facebookapk中加入了“com.facebook.tuubo”这个恶意广告包。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-APk分析-阿里聚安全

2脸书武器刀的界面

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-病毒分析-阿里聚安全

3脸书武器刀的恶意广告包

同时这个病毒样本在原本应用的权限上又申请了大量的高危权限。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-阿里聚安全-阿里聚安全

4脸书武器刀额外申请的权限

这个病毒样本的行为如下:

* 连接 s.fsptogo.com  s.kavgo.com 服务器获取命令

* 静默下载和安装

* 获取机器UDID

* 浏览器历史记录

* 获取logcat调试信息

通过分析apk的开发者证书我们发现,该的开发者属于Elink公司,这个公司号称是开发MTK平板电脑的,不过公司的主页做的非常不专业,感觉只是为了用来伪装。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-木马分析-阿里聚安全

5 Elink公司首页

样本二:伪推特下载器 (FakeTwitter.Downloader)

包名:com.twiter.android (注意:比正常应用com.twitter.android少了一个t)

MD5: e82ac31cb3771e07c572d526f075bbf4

SHA1: 808dabf5969f76a130901f20091abe85a30f6387

这个病毒样本对twitterapk进行了重打包。在twitterapk中加入了“com.twitter.MyReceiver”,“com.twitter.MyService”,“com.twitter.NotifyActivity”等恶意广告组件。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-Apk检测-阿里聚安全

6伪推特下载器的界面

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-Malware-阿里聚安全

伪推特下载器的恶意广告组件

同时这个病毒样本在原本应用的权限上又申请了大量的高危权限。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-恶意应用-阿里聚安全

伪推特下载器额外申请的权限

这个病毒样本的行为如下:

* 连接 91hao.com服务器(分析时服务器已经下线)获取命令

* 静默下载和安装

* 获取机器UDID

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-APk分析-阿里聚安全

伪推特下载器在服务器上静默下载应用

样本三:悠悠村市场 (uucunPlay)

包名:com.uucun4470.android.cms

MD5: e7d6fef2f1b23cf39a49771eb277e697

SHA1: f5735dc4d9502f99d3b62c49ef083b403d627124

该病毒样本首先申请了大量高危权限(安装应用,发送短信等),随后伪装成Google Play应用安装隐藏在系统目录中。因为在“/system/app/”路径下的是默认拥有system权限的,所以该病毒样本可以在用户不知情的情况下在后台下载并安装应用到手机当中。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-病毒分析-阿里聚安全

10悠悠村市场申请的权限

 

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-阿里聚安全-阿里聚安全

11悠悠村市场的应用信息(伪装成Google Play)

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-木马分析-阿里聚安全

12悠悠村市场的界面(伪装成Google Play)

 

悠悠村市场静默安装其他apk文件的方法在“com.uucun.android.j”中,恶意样本会现检测当前是否有安装其他应用的权限:

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-Apk检测-阿里聚安全

随后悠悠村市场会调用静默安装的API进行apk的安装:

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-Malware-阿里聚安全

根据动态分析,该病毒样本会到这些apk市场上下载应用:

http://apk.hiapk.com

http://agoldcomm.plat96.com

另外,病毒样本还会将搜集到的手机信息上传到这些服务器。

http://cloud6.devopenserv.com

http://pus7.devopenserv.com

http://log6.devopenserv.com

通过whois.com查询发现是上海的一家叫悠悠村的公司的服务器。

 

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-恶意应用-阿里聚安全

13 devopenserv.comwhois信息

 

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-APk分析-阿里聚安全

14 UUCUN的网站

 

根据介绍UUCUN是国内首家&最大AppStore解决方案商(优拓解决方案),成功帮助超过300家手机厂商、方案商、手机卖场以及第三方ROM提供AppStore解决方案。同时,也是国内最大的无线广告平台,平台聚集1000家广告主、5万家开发者。

其中提到了为第三方ROM提供AppStore解决方案。难道所谓的解决方案就是将病毒伪装成Google Play,然后预装在手机中伪装成Google官方进行软件推广或者在后台进行静默安装?

 

三,事件分析

 

经过对样本的分析以及调查后,我们可以得出结论: 手机中预装病毒确有其事,但GDATA公司的报告有些过于夸大事实了。首先这些病毒样本并不是在小米、华为和联想等厂商出厂时安装的,而是在销售的过程中,被经销商预装了病毒或刷入了带有病毒的固件。其次,这些病毒的主要目的是为了进行软件推广,并不会过分的收集用户隐私,所以中毒的用户不用太担心类似iCloud照片门事件的发生。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-病毒分析-阿里聚安全

15 通过ROM传播病毒的流程

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-阿里聚安全-阿里聚安全

16 央视新闻对手机预装病毒的报道

另外,在手机中预装病毒的案例这并不是第一个,比如说Lookout曾经报道过jSMSHider病毒,就是一种预装在手机ROM中的恶意短信扣费病毒[2]。在学术界也有预装病毒方面的研究[3]。但随着国家政策对短信扣费类的服务严加管制,地下产业链已经将主流手机病毒转型为恶意软件推广类病毒了。因为随着移动互联网的兴起,软件推广业务已经变成一块人人都想抢的蛋糕,推广者(黑客)只要能做到一个下载安装运行就可以获取5-20元不等的软件推广费,这也就是为什么恶意推广病毒会这么流行的原因。

四,对消费者的建议

 

为了避免中毒,消费者应该在正规的官方渠道购买手机,不应该贪图便宜而在不安全的小商场购买。如果不放心自己的手机是否中毒,可以下载手机安全应用(比如阿里钱盾等)进行安全扫描,如发现恶意病毒应立刻进行卸载。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-木马分析-阿里聚安全

17 钱盾查杀界面

五,参考文献

 

1.  GDATA 2015年Q2移动恶意病毒报告https://public.gdatasoftware.com/Presse/Publikationen/Malware_Reports/G_DATA_MobileMWR_Q2_2015_US.pdf

2.  Security Alert: Malware Found Targeting Custom ROMs (jSMSHider) https://blog.lookout.com/blog/2011/06/15/security-alert-malware-found-targeting-custom-roms-jsmshider/

3.  Min Zheng, Mingshen Sun, John C. S. Lui. "DroidRay: A Security Evaluation System for Customized Android Firmwares", ASIACCS 2014



本文来自合作伙伴“阿里聚安全”.


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
我的前端成长之路:在阿里七年,我的成长和迷茫
很荣幸有这个机会和大家分享一下我的成长经历,以及我是如何摆脱业务前端的职业迷茫感的。
4754 0
阿里 AI,全球上架
阿里云新冠肺炎 AI 诊断技术,向全球医院免费开放。
427 0
阿里AI,全球上架
感谢接力的你,带来了更多希望。
5716 0
阿里安全体系获国际顶会表彰,安全技术将有九大新趋势
7月9日,2018第十三届(ISC)亚太信息安全峰会在香港举行,经过多轮严苛遴选评审,阿里巴巴集团安全部资深总监张玉东所代表的阿里安全技术体系获颁亚太区信息安全领袖成就表彰,成为迄今中国内地首位来自互联网企业的获奖者。
1860 0
阿里发聚安全5.0 剑指互联网业务安全
本文讲的是阿里发聚安全5.0 剑指互联网业务安全【IT168 云计算】据阿里巴巴集团最新发布的2015年互联网安全年报显示,2015年,有18%的安卓设备感染病毒木马;安卓系统安全漏洞暴增10倍,而iOS系统安全漏洞则增长1.28倍。
2106 0
阿里聚安全 2016 年报:移动安全风险与日俱增
本文讲的是阿里聚安全 2016 年报:移动安全风险与日俱增,本报告重点聚焦在2016年阿里聚安全所关注的移动安全及数据风控上呈现出来的安全风险,在移动安全方面重点分析了病毒、仿冒、漏洞三部分,帮助用户了解业务安全端安全方面应该注意的风险,之后会描述阿里聚安全在业务安全防控方面做的一些努力和观点,帮助企业在建设互联网业务安全时,考虑安全策略和防护应该往哪部分倾斜。
2249 0
+关注
美人迟暮
Nothing for nothing.
文章
问答
文章排行榜
最热
最新
相关电子书
更多
云栖社区2017中国开发者调查报告
立即下载
科技之巅,云栖之路
立即下载
低代码开发师(初级)实战教程
立即下载