一、導(dǎo)讀
手機(jī)早已成為人們生活中不可或缺的一部分，在娛樂，移動支付，社交等方面都起到舉足輕重的作用，可以說在當(dāng)今社會手機(jī)就是人們重要的“生存”工具之一。但是在享受時代帶給我們的福利的同時，一些“不懷好意”的人們也伺機(jī)而動，用各種非法的手段從眾多的網(wǎng)民身上謀取利潤，因為這些人的存在，嚴(yán)重的損害了普通人的利益，無論是去年爆發(fā)的勒索病毒，還是今年的銀行木馬，這些安全事件都應(yīng)讓我們警醒，在互聯(lián)網(wǎng)時代我們還有很多事要做，我們的安全道路任重而道遠(yuǎn)。
二、病毒威脅介紹
2.1　一不小心你就中招
近日，平臺監(jiān)測到一款新型病毒，經(jīng)過安全人員研究，發(fā)現(xiàn)其偽造成正常內(nèi)存清理軟件，在點擊后隱藏圖標(biāo)，轉(zhuǎn)入后臺運行，上傳用戶信息，下載執(zhí)行惡意插件，對用戶信息安全造成極大威脅，為了保護(hù)廣大網(wǎng)民的安全，對此病毒和服務(wù)器地址進(jìn)行了上報處理，在根源上斷絕病毒的傳播。
2.2　你的手機(jī)如何成為了病毒的溫床？
該病毒仿照正常手機(jī)清理軟件，混淆視聽，欺騙用戶下載，并且在運行后隱藏圖標(biāo)轉(zhuǎn)而后臺運行。應(yīng)用運行狀態(tài)，如圖2-1，圖2-2所示：

圖2-1 應(yīng)用安裝狀態(tài)

圖2-2應(yīng)用運行狀態(tài)
2.2.1　隱藏圖標(biāo)
通過包管理器設(shè)置圖片隱藏，如圖2-3所示：

圖2-3隱藏圖標(biāo)
2.2.2　軟件后臺駐留運行
通過接受廣播啟動服務(wù)，如圖2-4，圖2-5所示：

圖2-4接受廣播形式

圖2-5廣播開啟后臺服務(wù)
在Android版本5.0以上該樣本則采用了JobSchedule機(jī)制進(jìn)行后臺進(jìn)程保活，如圖2-6所示：

圖2-6JobSchedule機(jī)制后臺進(jìn)程保活
2.2.3　上傳用戶數(shù)據(jù)
病毒在用戶不知情的情況下發(fā)送數(shù)據(jù)包，私自獲取大量用戶設(shè)備信息，并且發(fā)送到指定url，如圖2-7所示：

圖2-7 抓取上傳數(shù)據(jù)包
獲取用戶設(shè)備相關(guān)代碼信息，如圖2-8所示：

圖2-8獲取用戶設(shè)備相關(guān)信息
上傳數(shù)據(jù)包中的用戶設(shè)備信息內(nèi)容（解密后結(jié)果），如圖2-9所示：

圖2-9 上傳數(shù)據(jù)包信息圖
2.2.4　與遠(yuǎn)程服務(wù)器交互
病毒運行過后會向主控服務(wù)器發(fā)送數(shù)據(jù)包，然后根據(jù)主控返回的結(jié)果執(zhí)行下一步的行動，如圖2-10，圖2-11所示：

2-10向主控服務(wù)器發(fā)送數(shù)據(jù)包 
抓包得到服務(wù)器返回的結(jié)果，我們可以大致判斷此時病毒主控服務(wù)開啟，但廣告推送的功能屬于關(guān)閉狀態(tài)。

圖2-11服務(wù)器返回的結(jié)果 
結(jié)果表明服務(wù)正常運行，病毒向URL發(fā)送請求，確認(rèn)下載插件的地址，下載插件，運行插件如圖2-12，圖2-13，圖2-14，圖2-15所示：

圖2-12向服務(wù)器返回的結(jié)果

圖2-13下載插件

圖2-14下載插件
圖2-15運行插件
2.2.5　利用插件化技術(shù)隱秘執(zhí)行
按照常理病毒需要找準(zhǔn)時機(jī)運行這些插件，但并不是直接在Android系統(tǒng)層直接運行。這里用到了一個最近比較流行的插件化技術(shù)。在這個樣本中，病毒作者利用了一款開源的多開應(yīng)用框架VirtualApp，運用此框架可以使得插件的作用效果大大增強(qiáng)，因為此框架使的插件實際是在Android系統(tǒng)與外部應(yīng)用的中間層運行，插件的運行受系統(tǒng)本身的限制將會減少很多，近似于root的環(huán)境給病毒創(chuàng)造了絕妙的溫床，而虛擬機(jī)的環(huán)境又使得靜態(tài)的病毒檢測方法無法生效，提高了查殺難度，結(jié)合 VirtualApp的病毒確實可以肆無忌憚做很多事。
VirtualAPP實現(xiàn)程序內(nèi)部運行大致遵循以下流程，首先代理程序運行所需系統(tǒng)各種服務(wù)，使運行程序和VA為合為一體，其次修正應(yīng)用數(shù)據(jù)，保存原有數(shù)據(jù)，然后數(shù)據(jù)整合在VA中代理運行，最終交于系統(tǒng)執(zhí)行。
VirtualAPP實現(xiàn)多開應(yīng)用的大致邏輯如圖2-16所示：

圖2-16VirtualAPP多開流程圖
該病毒的文件結(jié)構(gòu)以及運行邏輯如圖2-17，圖2-18所示：

圖2-17應(yīng)用文件結(jié)構(gòu)

圖2-18病毒運行流程
2.2.6　破壞殺軟主動防御
對服務(wù)器下發(fā)的插件分析，發(fā)現(xiàn)存在惡意行為。經(jīng)過抓包后處理，我們發(fā)現(xiàn)程序經(jīng)過解密最終會生成2個Jar包，如圖2-19所示：

圖2-19生成的惡意Jar包
該jar包在運行后會主動破壞系統(tǒng)中存在的主防，并且會重啟手機(jī)，目前可以確認(rèn)會被破壞主防的殺軟有LBE安全大師以及360的主動防御。
2.3　主控地址功能
  主控地址 
  功能 
  http://api.*****.top:9000/api/channel/cfg?** 
  確定整個服務(wù)的功能狀態(tài)。 
  http://www.*******are/cr/sv/getGoFile?name=goplaysdk_statistics_s250.dat 
  獲取插件下載地址。 
  http://hc******day:8082/spdumread/service/rtLogRecord 
  作為獲取設(shè)備信息的地址。 
  
  基座中包含的友盟統(tǒng)計模塊。 
  http://hc.s****op/gpfile/pfiles/** 
  惡意插件的下載地址。 
2.4　主控地址追蹤
我們只對其服務(wù)器域名進(jìn)行溯源，通過域名的whois查詢，獲取到的大部分信息都被隱藏，包括注冊信息，聯(lián)系人，公司信息，其中只有一個域名信息較為完整，如圖2-20所示：

圖2-20 域名溯源
根據(jù)基本信息我們大致知道注冊人的基本情況，根據(jù)郵箱查找相關(guān)信息，查看qq的情況，判斷是被盜號過后注冊的郵箱，如圖2-21，圖2-22所示：

圖2-21qq基本信息

圖2-22郵箱相關(guān)的百度貼吧號
三、防范及處置建議
建議用戶提高警覺性，使用軟件請到官網(wǎng)下載。到應(yīng)用商店進(jìn)行下載正版軟件，避免從論壇等下載軟件，可以有效的減少該類病毒的侵害。關(guān)注”暗影實驗室”公眾號，獲取最新實時移動安全狀態(tài)，避免給您造成損失和危害。
為防止病毒變種，用戶發(fā)現(xiàn)已經(jīng)安裝此病毒的，可以請專業(yè)人員分析此病毒。
安全需要做到防患于未然，可以使用恒安嘉新公司的APP威脅檢測與態(tài)勢分析平臺進(jìn)行分析對Android樣本提取信息并進(jìn)行關(guān)聯(lián)分析和檢測；
用戶發(fā)現(xiàn)感染手機(jī)病毒軟件之后，可以向“12321網(wǎng)絡(luò)不良與垃圾信息舉報受理中心”或“中國反網(wǎng)絡(luò)病毒聯(lián)盟”進(jìn)行舉報，使病毒軟件能夠第一時間被查殺和攔截。
聲明
本報告內(nèi)容不代表任何企業(yè)或任何機(jī)構(gòu)的觀點，僅是作者及所在團(tuán)隊作為技術(shù)愛好者在工作之余做的一些嘗試性研究和經(jīng)驗分享。
本報告雖是基于技術(shù)團(tuán)隊認(rèn)為可靠的信息撰寫，團(tuán)隊力求但不保證該信息的準(zhǔn)確性和完整性，讀者也不應(yīng)該認(rèn)為該信息是準(zhǔn)確和完整的。這是主要是因為如下一些理由（包括但不限于）：
第一，互聯(lián)網(wǎng)的數(shù)據(jù)無處不在，我們所能接觸到的是極為有限的抽樣樣本，本身不具備完整性。
第二，不同的技術(shù)方法獲取的數(shù)據(jù)有一定的局限性。比如，終端agent獲取的數(shù)據(jù)只能涵蓋已部署終端的范圍；爬蟲技術(shù)的時效性和完整性受限于爬蟲的規(guī)模和能力；網(wǎng)絡(luò)側(cè)探針技術(shù)受限部署探針的節(jié)點數(shù)量并只能對活躍的行為進(jìn)行感知。
第三，即使已經(jīng)納入到分析范圍的樣本，也會由于技術(shù)團(tuán)隊規(guī)則和算法的選擇造成統(tǒng)計結(jié)論偏差。
第四，技術(shù)團(tuán)隊所得出的結(jié)論僅僅反映其數(shù)字本身，進(jìn)一步主觀得出優(yōu)劣性的、排名性的、結(jié)論性的觀點是危險的。因為安全事件往往伴隨著業(yè)務(wù)的良性增長，開放程度，法律法規(guī)以及黑色產(chǎn)業(yè)鏈的演進(jìn)等多方面的因素，是一個復(fù)雜的生態(tài)問題。
此外，團(tuán)隊不保證文中觀點或陳述不會發(fā)生任何變更，在不同時期，團(tuán)隊可發(fā)出與本報告所載資料、意見及推測不一致的報告。團(tuán)隊會適時更新相關(guān)的研究，但可能會因某些規(guī)定而無法做到。
最后，即使未經(jīng)作者的書面授權(quán)許可，任何人也可以引用、轉(zhuǎn)載以及向第三方傳播。但希望同時能附上完整的原文或至少原始出處。這樣的考慮在于：第一，避免選擇性的部分引用造成的不必要的誤解；其次，避免某些內(nèi)容的錯誤經(jīng)原作者發(fā)現(xiàn)并及時調(diào)整后沒有體現(xiàn)在轉(zhuǎn)載的文中。
感謝大家的理解！