安全動(dòng)態(tài)

最強(qiáng)后門刷榜病毒,“隱流者”家族盯上90%的國(guó)內(nèi)應(yīng)用市場(chǎng)
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2018-05-21    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf

近期,依托騰訊安全大數(shù)據(jù),騰訊安全反詐騙實(shí)驗(yàn)室自研的TRP-AI反病毒智能引擎捕獲到某色情病毒家族存在流量異常行為,騰訊安全研究人員研究發(fā)現(xiàn),該色情病毒家族集成了一個(gè)名為 “隱流者”的應(yīng)用刷單病毒,該病毒家族將自身植入到支付插件中,然后利用混淆,關(guān)鍵信息加密,核心代碼剝離,惡意代碼分多次下載等技術(shù)手段來(lái)繞過(guò)傳統(tǒng)病毒引擎查殺。

騰訊安全研究人員指出隱流者病毒家族除了隱蔽性極強(qiáng)的特性之外,其隱匿于用戶量極大的色情和游戲進(jìn)行傳播可以持續(xù)獲取到足夠的流量來(lái)布局刷量變現(xiàn)平臺(tái).該病將真實(shí)用戶設(shè)備改造成后門刷量客戶端,然后通過(guò)云端控制的方式讓中招用戶完成應(yīng)用市場(chǎng)刷量任務(wù)。

根據(jù)對(duì)隱流者病毒完善的刷榜流程,安全研究人員其主要存在以下風(fēng)險(xiǎn):

1、應(yīng)用市場(chǎng)平臺(tái)的生態(tài)安全:隱流者病毒可以繞過(guò)應(yīng)用市場(chǎng)的虛假設(shè)備檢測(cè)功能,實(shí)現(xiàn)對(duì)應(yīng)用的快速刷取排名,影響應(yīng)用市場(chǎng)排名的公平性;

2、應(yīng)用開發(fā)者的營(yíng)銷損失:其可以針對(duì)競(jìng)爭(zhēng)對(duì)手進(jìn)行虛假下載攻擊,應(yīng)用開發(fā)者投入的大量市場(chǎng)推廣費(fèi)用最終換來(lái)的可能是虛假用戶。

一 、該家族病毒主要危害

1、模擬刷榜功能

逆向分析各大手機(jī)應(yīng)用市場(chǎng)搜索協(xié)議,利用中招設(shè)備發(fā)送模擬搜索請(qǐng)求,接著解析返回?cái)?shù)據(jù)獲取指定應(yīng)用信息,進(jìn)行應(yīng)用下載安裝的操作,最終完成指定應(yīng)用的刷榜的行為.該功能還可用戶打擊競(jìng)爭(zhēng)對(duì)手的應(yīng)用,快速消耗競(jìng)品的廣告費(fèi)用.

疑似可能被刷榜的部分應(yīng)用

(疑似可能被刷榜的部分應(yīng)用)

2  欺詐扣費(fèi)功能

勾起用戶的欲望,自動(dòng)訂閱各種短信收費(fèi)服務(wù).。

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

二、該家族的傳播方式

  “隱流者”將后門代碼植入到名為cmnpay的惡意支付插件中,任何使用該支付插件的應(yīng)用都可執(zhí)行相應(yīng)的惡意代碼.目前該惡意支付插件主要的使用者是色情剛需應(yīng)用和部分的游戲應(yīng)用.

 “隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

三 、病毒樣本的攻擊流程

1 使用支付SDK的應(yīng)用會(huì)主動(dòng)將其加載起來(lái)

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手  

2 惡意代碼執(zhí)行流程

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手  

3 隱流者詳細(xì)分析過(guò)程

3.1 GeneralService.onStart方法,等待一段時(shí)間后,初始化各種插件 

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

3.2初始化插件的過(guò)程中,com.XYfNRjplXNf.a.c$1的run()方法會(huì)鏈接云端服務(wù)器,下載云端配置文件,解密以后獲取到相應(yīng)dex子包的下載地址 

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

根據(jù)抓包分析,服務(wù)器域名為suann***n.com,下載插件的網(wǎng)絡(luò)數(shù)據(jù)如下所示:

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

3.3 其中配置為sdk_pp的dex子包sdk_mod2會(huì)進(jìn)一步從云端下載刷量相關(guān)的幾個(gè)子包

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

4 隱流者核心模塊的工作原理

4.1 惡意子包p_ste_1根據(jù)云端下發(fā)的配置信息針對(duì)應(yīng)用市場(chǎng)進(jìn)行應(yīng)用搜索和下載刷量的行為。

4.1.1 解析云端的配置信息

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手    

4.1.2 針對(duì)不同的市場(chǎng)進(jìn)行操作,幾乎涵蓋國(guó)內(nèi)各大應(yīng)用市場(chǎng) 

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

4.1.3 抽象定義的基類,按照熱詞搜索應(yīng)用、下載應(yīng)用等刷量行為 

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

4.2 通過(guò)逆向各個(gè)應(yīng)用市場(chǎng)相關(guān)API接口,根據(jù)應(yīng)用市場(chǎng)的不同實(shí)現(xiàn)不同的刷量邏輯,模擬相關(guān)網(wǎng)絡(luò)請(qǐng)求,解析返回?cái)?shù)據(jù),最終實(shí)現(xiàn)刷量的目標(biāo) 

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

4.2.1 某應(yīng)用市場(chǎng)實(shí)現(xiàn)案例

(1) 偽造搜索請(qǐng)求,根據(jù)關(guān)鍵字獲取搜索結(jié)果

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

 (應(yīng)用市場(chǎng)返回的搜索接口數(shù)據(jù))

(2) 偽造請(qǐng)求,獲取相關(guān)應(yīng)用的詳細(xì)信息  

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

(3) 偽造下載請(qǐng)求請(qǐng)求 

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

四、溯源信息

通過(guò)對(duì)隱流者的相關(guān)信息溯源發(fā)現(xiàn),該幕后黑手是位于深圳的廠商

“隱流者”:批量薅羊毛的應(yīng)用市場(chǎng)“刷單”高手

 

五、查殺和防御

1 應(yīng)用廠商防御建議

對(duì)應(yīng)用市場(chǎng)API進(jìn)行鑒權(quán)操作,僅允許官方應(yīng)用進(jìn)行訪問(wèn),避免API接口被濫用

建立應(yīng)用市場(chǎng)增長(zhǎng)應(yīng)用監(jiān)控機(jī)制,避免大規(guī)模刷榜行為

與安全廠商進(jìn)行合作打通安全情報(bào),通過(guò)合作發(fā)現(xiàn)打擊刷榜行為

2 用戶查殺防御建議

安裝手機(jī)防護(hù)軟件即可查殺防御該病毒家族

 
 

上一篇:2018年05月20日 聚銘安全速遞

下一篇:2018年05月21日 聚銘安全速遞