本文来自合作伙伴“阿里聚安全”.

简介:

 2015年09月11日 15:50  7389

一, 事件起因

根据德国安全厂商GDATA放出的2015Q2移动恶意病毒报告 [1]中指出:市场上至少有26款的Android手机在卖给消费者时藏有恶意程式,受害的不乏知名品牌,包括小米3Xiaomi MI3)、华为的Huawei G510、联想的Lenovo S860Android P8ConCorde SmartPhone6500、中国的阿尔卑斯(Alps)等,这些手机品牌主要销售地区在亚洲和欧洲。据介绍,这类间谍软件主要伪装在Facebook和谷歌等流行的安卓应用程序驱动中。用户手机在没有解锁的情况下,是无法删除这些应用的。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-恶意应用-阿里聚安全

受影响的手机型号

二, 病毒样本分析

在发生此次事件后,我们第一时间联系了GDATA公司,并拿到了预装在手机中的恶意病毒样本进行分析。

样本一脸书武器刀 (facebookKatana)

包名:com.facebook.katana

MD5: 334f0a9811034dd226289aa84d202e60

SHA1: ac8d71fc4ec99b3cb9d758451048fc3d44dda62e

这个样本对 facebook 1.8.4 版本的 apk 进行了重打包。在 facebook apk 中加入了“ com.facebook.tuubo ”这个恶意广告包。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-APk分析-阿里聚安全

2脸书武器刀的界面

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-病毒分析-阿里聚安全

3脸书武器刀的恶意广告包

同时这个病毒样本在原本应用的权限上又申请了大量的高危权限。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-阿里聚安全-阿里聚安全

4脸书武器刀额外申请的权限

这个病毒样本的行为如下:

* 连接 s.fsptogo.com  s.kavgo.com 服务器获取命令

* 静默下载和安装

* 获取机器UDID

* 浏览器历史记录

* 获取logcat调试信息

通过分析apk的开发者证书我们发现,该的开发者属于Elink公司,这个公司号称是开发MTK平板电脑的,不过公司的主页做的非常不专业,感觉只是为了用来伪装。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-木马分析-阿里聚安全

5 Elink公司首页

样本二:伪推特下载器 (FakeTwitter.Downloader)

包名:com.twiter.android (注意:比正常应用com.twitter.android少了一个t)

MD5: e82ac31cb3771e07c572d526f075bbf4

SHA1: 808dabf5969f76a130901f20091abe85a30f6387

这个病毒样本对twitterapk进行了重打包。在twitterapk中加入了“com.twitter.MyReceiver”,“com.twitter.MyService”,“com.twitter.NotifyActivity”等恶意广告组件。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-Apk检测-阿里聚安全

6伪推特下载器的界面

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-Malware-阿里聚安全

伪推特下载器的恶意广告组件

同时这个病毒样本在原本应用的权限上又申请了大量的高危权限。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-恶意应用-阿里聚安全

伪推特下载器额外申请的权限

这个病毒样本的行为如下:

* 连接 91hao.com服务器(分析时服务器已经下线)获取命令

* 静默下载和安装

* 获取机器UDID

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-APk分析-阿里聚安全

伪推特下载器在服务器上静默下载应用

样本三:悠悠村市场 (uucunPlay)

包名:com.uucun4470.android.cms

MD5: e7d6fef2f1b23cf39a49771eb277e697

SHA1: f5735dc4d9502f99d3b62c49ef083b403d627124

该病毒样本首先申请了大量高危权限(安装应用,发送短信等),随后伪装成Google Play应用安装隐藏在系统目录中。因为在“/system/app/”路径下的是默认拥有system权限的,所以该病毒样本可以在用户不知情的情况下在后台下载并安装应用到手机当中。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-病毒分析-阿里聚安全

10悠悠村市场申请的权限

 

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-阿里聚安全-阿里聚安全

11悠悠村市场的应用信息(伪装成Google Play)

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-木马分析-阿里聚安全

12悠悠村市场的界面(伪装成Google Play)

 

悠悠村市场静默安装其他 apk 文件的方法在“ com.uucun.android.j” 中,恶意样本会现检测当前是否有安装其他应用的权限:

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-Apk检测-阿里聚安全

随后悠悠村市场会调用静默安装的API进行apk的安装:

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-Malware-阿里聚安全

根据动态分析,该病毒样本会到这些apk市场上下载应用:

http://apk.hiapk.com

http://agoldcomm.plat96.com

另外,病毒样本还会将搜集到的手机信息上传到这些服务器。

http://cloud6.devopenserv.com

http://pus7.devopenserv.com

http://log6.devopenserv.com

通过whois.com查询发现是上海的一家叫悠悠村的公司的服务器。

 

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-恶意应用-阿里聚安全

13 devopenserv.comwhois信息

 

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-APk分析-阿里聚安全

14 UUCUN的网站

 

根据介绍UUCUN是国内首家&最大AppStore解决方案商(优拓解决方案),成功帮助超过300家手机厂商、方案商、手机卖场以及第三方ROM提供AppStore解决方案。同时,也是国内最大的无线广告平台,平台聚集1000家广告主、5万家开发者。

其中提到了为第三方ROM提供AppStore解决方案。难道所谓的解决方案就是将病毒伪装成Google Play,然后预装在手机中伪装成Google官方进行软件推广或者在后台进行静默安装?

 

三,事件分析

 

经过对样本的分析以及调查后,我们可以得出结论: 手机中预装病毒确有其事,但GDATA公司的报告有些过于夸大事实了。首先这些病毒样本并不是在小米、华为和联想等厂商出厂时安装的,而是在销售的过程中,被经销商预装了病毒或刷入了带有病毒的固件。其次,这些病毒的主要目的是为了进行软件推广,并不会过分的收集用户隐私,所以中毒的用户不用太担心类似iCloud照片门事件的发生。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-病毒分析-阿里聚安全

15 通过ROM传播病毒的流程

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-阿里聚安全-阿里聚安全

16 央视新闻对手机预装病毒的报道

另外,在手机中预装病毒的案例这并不是第一个,比如说Lookout曾经报道过jSMSHider病毒,就是一种预装在手机ROM中的恶意短信扣费病毒[2]。在学术界也有预装病毒方面的研究[3]。但随着国家政策对短信扣费类的服务严加管制,地下产业链已经将主流手机病毒转型为恶意软件推广类病毒了。因为随着移动互联网的兴起,软件推广业务已经变成一块人人都想抢的蛋糕,推广者(黑客)只要能做到一个下载安装运行就可以获取5-20元不等的软件推广费,这也就是为什么恶意推广病毒会这么流行的原因。

四,对消费者的建议

 

为了避免中毒,消费者应该在正规的官方渠道购买手机,不应该贪图便宜而在不安全的小商场购买。如果不放心自己的手机是否中毒,可以下载手机安全应用(比如阿里钱盾等)进行安全扫描,如发现恶意病毒应立刻进行卸载。

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究-木马分析-阿里聚安全

17 钱盾查杀界面

五,参考文献

 

1.  GDATA 2015年Q2移动恶意病毒报告https://public.gdatasoftware.com/Presse/Publikationen/Malware_Reports/G_DATA_MobileMWR_Q2_2015_US.pdf

2.  Security Alert: Malware Found Targeting Custom ROMs (jSMSHider) https://blog.lookout.com/blog/2011/06/15/security-alert-malware-found-targeting-custom-roms-jsmshider/

3.  Min Zheng, Mingshen Sun, John C. S. Lui. "DroidRay: A Security Evaluation System for Customized Android Firmwares", ASIACCS 2014



本文来自合作伙伴“阿里聚安全”.


相关文章
|
测试技术
|
前端开发 开发者 容器
合作伙伴 |学习笔记
快速学习合作伙伴
|
存储 安全 前端开发
Android端如何简单的防黑产
apk的混淆加固,相关密钥的安全存储,以及接口的加密,都是我们加深App安全的操作,也是进一步加深黑产用户的破解难度,对于数据的流失,防黑产,一般都是和接口挂钩,大部分也都是服务端需要考虑的,毕竟交互的最终结果都是传到服务端,无非前端做一些配合服务端的事情。
192 0
|
计算机视觉
配置OpenCV3+VS2017发生错误:无法打开文件 opencv_world345d.dll 解决方案
配置OpenCV3+VS2017发生错误:无法打开文件 opencv_world345d.dll 解决方案
配置OpenCV3+VS2017发生错误:无法打开文件 opencv_world345d.dll 解决方案
|
数据库
使用tk.mybatis中的注意事项--insert添加不上+没有selectByExample
自己在使用tk.mybatis,遇到了这两个问题,在这里分享给大家: 第一个使用insert语句,插入到数据库是为空: 解决方案:就是实体类的字段类型都要是包装类
292 2
我的博客即将入驻“云栖社区”,诚邀技术同仁一同入驻。
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/kese7952/article/details/84824776 我的博客即将入驻“云栖社区”,诚邀技术同仁一同入驻。
897 0
我的博客即将入驻“云栖社区”
我的博客即将入驻“云栖社区”,诚邀技术同仁一同入驻。
838 0
博客将入驻“云栖社区”
我的博客即将入驻“云栖社区”,诚邀技术同仁一同入驻。真正重要的东西,用眼睛是看不见的。
938 0
本博客将入驻“云栖社区”
我的博客即将入驻“云栖社区”,诚邀技术同仁一同入驻。
980 0
我的博客即将入驻“云栖社区”。
我的博客即将入驻“云栖社区”,诚邀技术同仁一同入驻。
905 0