<span id="7ztzv"></span>
<sub id="7ztzv"></sub>


<span id="7ztzv"></span><form id="7ztzv"></form>


<span id="7ztzv"></span>
    

      

        <address id="7ztzv"></address>
            
				
            原文地址:http://drops.wooyun.org/papers/9738
            
				
      
            
        
            長期以來,色播類App屢見不鮮,其背后是巨大的金錢利益,是病毒主要棲息之地。為了保護用戶切身利益,騰訊手機管家長期以來對此類病毒進行及時查殺。
            


            色播類病毒每日感染用戶數如下圖所示,感染用戶數在周末日與假日期間尤為嚴重
            


            


            為了進行有效的查殺,我們對色情類病毒進行實時的監控。以某約愛色播視頻為例,下圖所示,晚上8點后會進行爆發,每小時以千為單位,庫中總量達80萬。
            




            


            美玉在外,敗絮其中,此類色播病毒常以美女色情圖片或者視頻來誘導用戶安裝,不斷提示用戶安裝難以卸載的惡意插件,進行廣告的推送,甚至在后臺靜默下載安裝應用和發送扣費短信,給用戶造成很大的影響
            


            色播病毒執行的流程如下圖所示:
            


            


            0x01 色播類病毒主要行為分析
            


            1.1 通過繼承Application來解密Dex,隱藏真正的Dex來躲避查殺
            


            


            1.2 解密Dex:
            


            通過包名中的數字截斷來確定需要解密的文件的名稱,此時文件名為26a6.fdc
            


            解密后的Dex名稱由:Md5加密(包名+”.Core”)+“.apk”組成
            


            1.3 通過DexClassLoader加載Dex,讀取資源解密釋放出文件:
            


            


            命名方式為:MD5加密(包名+“.original”+versionCode),此時的文件為一個Loader
            


            1.4 Loader聯網獲取惡意插件:
            


            01f61033344309ee8aa69bfab53f8196.apk即為Loader,
            


            包com.jmedia.loader.ad的函數AdApkHandler為加載插件函數
            


            1) 聯網獲取數據,配置廣告文件config_ad.xml
            


            


            2) 讀取json數據,通過解密字符串獲得需要的字段downloadurl,filesize,outStartActivity等
            


            


            對應的字符串
            


            


            解密函數主要過程:將密鑰 進行MD5 加密,取前17位作為AES解密的key
            


            解密函數如下:
            


            


            3)寫SharedPreferences文件config_ad.xml,內容如下
            


            


            4)獲取到config_ad.xml的downloadUrl下載解密
            


            下載到的文件ad20150513.apk文件,命名為game.properties, 該文件為加密文件,讀取config_ad.xml的secretKey進行AES解密,釋放解密后的文件到sdcard中的SAdAssets目錄下,命名為game20141210.apk,該文件即為我們要的com.android.system.contact.app推廣的APP
            


            


            其中config_ad.xml中的字段:outStartActivityAction, outStartActivity , serviceClassName 為需要啟動的組件信息
            


            1.5 推廣的com.android.system.contact.app 主要行為
            


              

            1. 激活設備管理器
              2. 

            2. 監聽設備管理器DeviceAdminReceiverm,當用戶禁用時,返回字符串:“取消激活將導致手機系統不穩定,部分安卓程序無法運行”,且記錄是否禁用
              3. 

            3. 聯網下載推廣信息,banner廣告,懸浮窗廣告,推送消息等
              4. 

            


            


            0x02 色播類病毒追蹤
            


            


            2.1批量生成靈活配置后臺進行推廣:色播類病毒中含大量重打包的應用,其推廣應用可靈活配置
            


            


            1)根據Manifest配置文件的Appid來決定訪問的網址
            


            


            2) 后臺含需要推廣的應用,及其誘導信息
            


            


            


            


            2.2 靜默發送短信或者誘導點擊來達到扣費的效果,以云端控制的方式返回 待發送短信和號碼,此種方式能控制發送任意短信內容
            


            1)除了偷偷發送短信,還會以誘惑性或者模糊的詞來誘導用戶進行點擊
            


            


            2)以云控的方式來控制短信內容
            


            


            2.3我們在實時監控的過程中,發現色播類病毒和大量插件,App捆綁相關聯,可見病毒作者在開發時,在捆綁的測試也下過不少功夫。
            


            


            0x03 色播偽裝的羊皮
            


            


            色播類病毒在隱藏偽裝方面也著實下了不少功夫
            


            1. 將推廣應用或者dex偽裝成so,mp3等各種格式
            


            


            實際上Media.mp3為Apk文件,如下圖所示
            


            


            2. 少量使用主流加固,大多數通過私有加固,加解密的方式來躲避查殺,并且使用公開的隱藏Apk方式
            


            1) 如下圖所示,樣本為dex文件,但其數據的尾部隱藏著一個APK文件
            


            


            2) 直接以字符串的形式存儲在字符串中,進行解密寫文件
            


            


            偽裝成正常的類名
            


            


            通過So來調用android代碼下載插件,色播逐步轉向Native層將成為一大趨勢
            


            


            0x04 總結
            


            


            色播類的樣本使用各種偽裝,加解密的方式的手段來加載惡意代碼,此種通過云端控制、插件化加載的方式,可達到加載各種惡意app,并且含推廣應用,推送消息,惡意扣費的行為,將對用用戶造成很大的影響。
            


            0x05 解決方案與安全建議
            


            


              

            1. 使用騰訊手機管家可進行精確的查殺與防御
              2. 

            2. 健康上網,不安裝來歷不明的應用軟件
              3. 

            


                  
            
    
			

            <span id="7ztzv"></span>
            <sub id="7ztzv"></sub>
            

            <span id="7ztzv"></span><form id="7ztzv"></form>
            

            <span id="7ztzv"></span>
              

                

                  <address id="7ztzv"></address>
                      

亚洲欧美在线