安全動態(tài)

最強后門刷榜病毒,“隱流者”家族盯上90%的國內(nèi)應(yīng)用市場
來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2018-05-21    瀏覽次數(shù):
 

信息來源:FreeBuf

近期,依托騰訊安全大數(shù)據(jù),騰訊安全反詐騙實驗室自研的TRP-AI反病毒智能引擎捕獲到某色情病毒家族存在流量異常行為,騰訊安全研究人員研究發(fā)現(xiàn),該色情病毒家族集成了一個名為 “隱流者”的應(yīng)用刷單病毒,該病毒家族將自身植入到支付插件中,然后利用混淆,關(guān)鍵信息加密,核心代碼剝離,惡意代碼分多次下載等技術(shù)手段來繞過傳統(tǒng)病毒引擎查殺。

騰訊安全研究人員指出隱流者病毒家族除了隱蔽性極強的特性之外,其隱匿于用戶量極大的色情和游戲進(jìn)行傳播可以持續(xù)獲取到足夠的流量來布局刷量變現(xiàn)平臺.該病將真實用戶設(shè)備改造成后門刷量客戶端,然后通過云端控制的方式讓中招用戶完成應(yīng)用市場刷量任務(wù)。

根據(jù)對隱流者病毒完善的刷榜流程,安全研究人員其主要存在以下風(fēng)險:

1、應(yīng)用市場平臺的生態(tài)安全:隱流者病毒可以繞過應(yīng)用市場的虛假設(shè)備檢測功能,實現(xiàn)對應(yīng)用的快速刷取排名,影響應(yīng)用市場排名的公平性;

2、應(yīng)用開發(fā)者的營銷損失:其可以針對競爭對手進(jìn)行虛假下載攻擊,應(yīng)用開發(fā)者投入的大量市場推廣費用最終換來的可能是虛假用戶。

一 、該家族病毒主要危害

1、模擬刷榜功能

逆向分析各大手機應(yīng)用市場搜索協(xié)議,利用中招設(shè)備發(fā)送模擬搜索請求,接著解析返回數(shù)據(jù)獲取指定應(yīng)用信息,進(jìn)行應(yīng)用下載安裝的操作,最終完成指定應(yīng)用的刷榜的行為.該功能還可用戶打擊競爭對手的應(yīng)用,快速消耗競品的廣告費用.

疑似可能被刷榜的部分應(yīng)用

(疑似可能被刷榜的部分應(yīng)用)

2  欺詐扣費功能

勾起用戶的欲望,自動訂閱各種短信收費服務(wù).。

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

二、該家族的傳播方式

  “隱流者”將后門代碼植入到名為cmnpay的惡意支付插件中,任何使用該支付插件的應(yīng)用都可執(zhí)行相應(yīng)的惡意代碼.目前該惡意支付插件主要的使用者是色情剛需應(yīng)用和部分的游戲應(yīng)用.

 “隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

三 、病毒樣本的攻擊流程

1 使用支付SDK的應(yīng)用會主動將其加載起來

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手  

2 惡意代碼執(zhí)行流程

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手  

3 隱流者詳細(xì)分析過程

3.1 GeneralService.onStart方法,等待一段時間后,初始化各種插件 

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

3.2初始化插件的過程中,com.XYfNRjplXNf.a.c$1的run()方法會鏈接云端服務(wù)器,下載云端配置文件,解密以后獲取到相應(yīng)dex子包的下載地址 

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

根據(jù)抓包分析,服務(wù)器域名為suann***n.com,下載插件的網(wǎng)絡(luò)數(shù)據(jù)如下所示:

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

3.3 其中配置為sdk_pp的dex子包sdk_mod2會進(jìn)一步從云端下載刷量相關(guān)的幾個子包

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

4 隱流者核心模塊的工作原理

4.1 惡意子包p_ste_1根據(jù)云端下發(fā)的配置信息針對應(yīng)用市場進(jìn)行應(yīng)用搜索和下載刷量的行為。

4.1.1 解析云端的配置信息

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手    

4.1.2 針對不同的市場進(jìn)行操作,幾乎涵蓋國內(nèi)各大應(yīng)用市場 

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

4.1.3 抽象定義的基類,按照熱詞搜索應(yīng)用、下載應(yīng)用等刷量行為 

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

4.2 通過逆向各個應(yīng)用市場相關(guān)API接口,根據(jù)應(yīng)用市場的不同實現(xiàn)不同的刷量邏輯,模擬相關(guān)網(wǎng)絡(luò)請求,解析返回數(shù)據(jù),最終實現(xiàn)刷量的目標(biāo) 

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

4.2.1 某應(yīng)用市場實現(xiàn)案例

(1) 偽造搜索請求,根據(jù)關(guān)鍵字獲取搜索結(jié)果

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

 (應(yīng)用市場返回的搜索接口數(shù)據(jù))

(2) 偽造請求,獲取相關(guān)應(yīng)用的詳細(xì)信息  

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

(3) 偽造下載請求請求 

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

四、溯源信息

通過對隱流者的相關(guān)信息溯源發(fā)現(xiàn),該幕后黑手是位于深圳的廠商

“隱流者”:批量薅羊毛的應(yīng)用市場“刷單”高手

 

五、查殺和防御

1 應(yīng)用廠商防御建議

對應(yīng)用市場API進(jìn)行鑒權(quán)操作,僅允許官方應(yīng)用進(jìn)行訪問,避免API接口被濫用

建立應(yīng)用市場增長應(yīng)用監(jiān)控機制,避免大規(guī)模刷榜行為

與安全廠商進(jìn)行合作打通安全情報,通過合作發(fā)現(xiàn)打擊刷榜行為

2 用戶查殺防御建議

安裝手機防護(hù)軟件即可查殺防御該病毒家族

 
 

上一篇:2018年05月20日 聚銘安全速遞

下一篇:2018年05月21日 聚銘安全速遞