原文地址:http://drops.wooyun.org/papers/11065

0x00 概述

近期，阿里移動安全團隊發現大批量色情類病毒重新開始在某些論壇或者應用市場上泛濫。和以往的色情類病毒不同的是，它們使用了更多高級的技術手段來對抗安全軟件的查殺。這類病毒具有以下特點：

1. 使用了代碼加固技術，把惡意代碼加密，運行后再從內存中解密出來；
2. 安裝后偽裝成系統組件，同時將自身安裝隱藏在系統目錄下，防止卸載的同時也躲避了部分安全軟件的查殺；
3. 通過云端服務器配置不斷創建虛假快捷方式、彈對話框、偽造通知欄等方式，強制推送安裝其它惡意軟件。

由于這類病毒通常使用美女圖片作為應用市場上展示的圖標，同時使用一些具有誘惑性的詞語作為應用名稱，沒有經驗的用戶極易上當受騙，因此我們將其命名為“魅影殺手”。

圖：“魅影殺手”使用的圖標和名稱

截至10月底，國內有85.3萬臺設備感染了“魅影殺手”病毒。其中，感染最為嚴重的省份是廣東、浙江和江蘇。廣東省平均45臺設備中就有1臺安裝了該病毒。

圖：“魅影殺手”病毒感染用戶量趨勢

圖：“魅影殺手”的感染用戶的區域分布

0x01 技術分析

為了進一步了解“魅影殺手”的演變過程，我們分析了該病毒家族在不同時期的樣本。以下從與安全軟件的對抗、惡意行為兩個角度對該“魅影殺手”病毒的特點做了總結：

1.與安全軟件對抗

a.代碼加固

Android加固技術的引入，確實在一定程度上解決了代碼安全性的問題，但同時也給各種病毒木馬提供了極佳的隱藏手段。我們發現大量的“魅影殺手”樣本使用了加固技術隱藏自身，試圖躲避殺毒軟件查殺。從早期的DEX可執行代碼整體加密存放到assets目錄，演變到java層代碼深度混淆解殼代碼，再到目前在native層動態加載加密的惡意代碼，說明病毒開發者也在費盡心思增加安全公司的逆向分析成本。

圖：惡意代碼加固技術演變

圖：Native層通過DexClassLoader加載加密的惡意代碼

同時該種加固存在大量變種，每隔一段時間將會修改so名和對應加密的jar名，native層里的initkey也會改變。

b.防止卸載

為了長期駐留在用戶的手機內，這類病毒樣本還會通過偽裝成系統組件、激活設備管理權限以及把自身拷貝到系統目錄等方式，使得用戶或者安全軟件無法通過正常方式卸載。

圖：激活設備管理權限

2.惡意行為

a.訂購收費服務

“魅影殺手”病毒通常利用“私密快播”、“情澀視頻”、“愛美熱播”等帶一些誘惑性的名稱吸引用戶點擊，而在于其內置的付費模塊，會在后臺暗中扣取用戶的話費，或者直接消耗流量，產生流量費。下圖對一般的危害性做了統計。從圖里看出，對用戶危害最大的，是惡意扣費！！！

圖：色情應用危害

色情類應用大多包涵多個支付模塊，各個模塊之間相互聯系，經過分析發現，某些第三方提供的支付SDK存在短信攔截的行為，也就是說，當用戶點擊了付費之后，并不會收到扣費的確認短信（二次確認）。原因是因為該短信已經被攔截，下圖是某個支付模塊中的代碼

圖：攔截短信

部分色情應用甚至私自發送扣費短信

圖：啟動后靜默發送扣費短信

b.隱私竊取

分析過程中發現，部分惡意開發者將惡意代碼包裝入色情應用。惡意行為包括監控短信彩信的接收、讀取短信箱內容，上傳用戶手機短信和聯系人列表到黑客指定的郵件中。當黑客拿到這些信息之后，就可以進行信息販賣，詐騙等。下圖是分析人員拿到的某黑客的郵箱。

圖：搜集用戶信息

圖：讀取用戶短信箱的信息

c.強制推送并安裝其它惡意軟件

對一名叫”私密快播”分析。首先監控系統啟動,隨后啟動RequestTask任務，以“發現您系統中缺少高清播放組件：1、突破防火墻限制，多種限制級大片供欣賞；2、快播專用通道已開通；3、更多精彩內容午夜開放，盡請期待！”誘騙用戶下載安裝，安裝之后在后臺不斷瘋狂下載惡意推送應用，并創建虛擬桌面誘導用戶安裝，消耗手機流量，非法推送惡意廣告等等。

圖：下載服務器地址

對上圖中下載鏈接訪問:

“durl”字段值是下載者鏈接，”title”,”desc”字段unicode編碼,解密之后，對應下圖彈出的對話框文章。

圖：誘導安裝

對下載者應用，對上勾手機強行推送，整個過程包括查看用戶下載了哪些應用，有哪些安裝運行，哪些沒有安裝運行，并不斷創建虛假快捷方式、彈對話框、偽造通知欄等方式引誘用戶點擊安裝，最終導致手機中安裝了大量惡意軟件。服務端就是通過這種方式，知道用戶安裝運行了哪些應用，對成功推送的獲取利用。

圖：強制提醒安裝下載的應用

0x02 黑產利益鏈條分析

由于該類色情類APP開發和制作流程簡單，推廣成本低，并且市場空間巨大，能夠在短時間內產生經濟效益，因此吸引了大批不法分子參與其中進行利益分成，并且逐漸形成了一條完善的黑色產業鏈。色情APP的開發者通過極低的推廣費用，把樣本上傳到某些網絡推廣平臺，例如小眾的android市場、應用推廣平臺、色情網站、部分游戲或者游戲外掛網站等。由于這類色情APP本身的誘騙特性，容易激發用戶的好奇心下載安裝。一旦成功安裝到用戶手機上，它們會在后臺偷偷訂購一些移動運營商的收費服務，同時向用戶手機推送更多惡意推廣軟件，這樣黑產一方面參與電信收費項目的提成，另一方面還獲得了更多的廣告流量分成。

以下是“魅影殺手”病毒的黑產利益鏈條：

圖：“魅影殺手”病毒的黑產利益鏈條

由于目前國內不少的應用市場逐漸加強了代碼安全審核，為了避免檢測出惡意代碼后應用被下架，有專業的黑產加固團隊對惡意代碼進行加密隱藏后再發布到應用市場。通過對樣本渠道進行分析，我們發現，為了避免身份泄露，有些病毒開發者甚至將木馬存儲到自己的服務器上，并申請了一系列域名用于提供下載服務。

總結：“魅影殺手”病毒的黑產利益鏈條：惡意APK->借助推廣渠道->色情網站或色情APP->引誘下載->廣告聯盟->惡意扣費。

0x03 防范以及建議

阿里移動安全提醒大家，為了避免中毒，我們建議大家盡量從官方網站或者可信任的Android應用市場下載手機應用，盡量不要安裝來歷不明的應用，尤其是帶有誘惑性字眼的應用更需謹慎。如果不確定手機是否中毒，可以安裝阿里錢盾等手機安全軟件，對手機上的應用進行檢測，防止高風險惡意應用的安裝。