序幕
近日,筆者閑暇時光下載了一個小游戲進行玩耍,游戲結束后沒再管它,當下次點亮手機時,驚奇的發現在手機主界面中心有一應用推薦輪播的懸浮窗。對于移動端技術人員來說,手機就像自己的GF,這種匿名的流氓行為是決不能忍的。對其進行了解剖,發現其核心源碼竟然只有一個APP類,經調查,此應用是一款盜版應用,運用多dex動態加載,反射,NDK開發,數據加密,代碼混淆等多種技術手段,這讓我聯想起了我們耳熟能詳的真假美猴王中的六耳獼猴,與正版應用相比,也算是神通廣大了。
諦聽察聽
如何判定這款游戲是盜版應用呢,我們要像西游記中的諦聽一樣伏地聆聽。Android 開發中每個應用都有自己唯一的簽名,為了辨別應用的真偽,我們來到正規的應用商店進行了下載,對其應用的簽名信息和證書信息進行了比對,比對的結果如圖1-1所示:
圖1-1 簽名和證書信息比對
就是這樣的一款盜版應用,它都不能默默的帶有羞恥心的低調行事。在對其行為進行研判時,發現它申請了二十多項權限,這種行為增大了技術人員對它的疑心。經技術人員研判發現,此應用安裝之后,會發送大量的短信,其中很多是服務訂購短信,會給用戶造成惡意扣費其次,此應用還會在多處地方設置監聽和內容觀察者,會監聽用戶的短信信息,獲取用戶的手機號等隱私信息,給用戶的隱私安全帶來威脅;之后,就是“默默奉獻”、“不辭辛勞”的頻繁給用戶推廣各種應用,經研判多數為病毒應用,在用戶碰觸到廣告懸浮窗時,直接下載推廣的應用,給用戶帶來流量損失和精神折磨。
獼猴之七十二變
上文已經介紹過,此款盜版軟件在運用技術(其中包含病毒反檢測技術)上具有多樣化,在病毒行為上更是瘋狂,如同六耳獼猴同樣具有美猴王的七十二般變化一樣。下面我們就其技術和惡意行為進行簡單的分析和介紹。
2.1 獼猴之虛空其身
為了搞清楚這款軟件的行為,首先必須是對其進行反編譯,直接查看其源碼,對比正版應用,看其做了哪些改變,想要實現哪些目的。打開其源碼的一剎那,有些吃驚,應用并未進行加固,代碼卻少的可憐,只有一個啟動的APP類,為了防止安全應用檢測,也算是煞費苦心,我們稱之為“虛空其身”。正版軟件的代碼結構我們不方便貼出,盜版病毒軟件的代碼結構如圖2-1所示:
圖2-1 軟件源碼結構
那么如此一個應用肯定不是一個連Activity類都沒有的源碼實現的,我們就猜想它的源碼或許是動態下載或者本地資源文件進行加載的。我們對其assets文件進行查看,得到的結果讓人想哭,未標明文件后綴的文件近達300個,后經研究很多還是加密文件,如圖2-2所示:
圖2-2 assets文件
為了找到其真正的源碼文件,還是需要對其APP類進行分析,根據DexClassLoader對其進行追蹤和解密之后得到了下面這個字符串“assets/data/A816C5F3A07165F0D794BAE018C2D0C330734421”,由此我們可以知道,它是采用本地資源文件進行了dex動態加載,之后我們找到資源目錄下的A816C5F3A07165F0D794BAE018C2D0C330734421文件,添加dex文件后綴,進行反編譯查看,得到了它的源碼如圖2-3所示:
圖2-3 dex反編譯源碼
如果我們以為A816C5F3A07165F0D794BAE018C2D0C330734421文件就包含了其全部源碼,就有點小看此“獼猴”了,在進一步的分析中,我們會發現它很多地方都在動態加載dex文件或通過反射技術調用apk文件,這些代碼文件都具有某一項單獨的功能,我們使用ROOT權限的ROM,從它本地文件files目錄中可以看到,files目錄文件如圖2-4所示:
圖2-4 files目錄文件
2.2 獼猴之偷金竊銀
作為技術人員,在6.0之前的Android系統上運行安卓應用,是不可能給你無關使用的權限的,所以第一次試玩還是比較友好的操作,但是如果用戶在安裝了此病毒應用之后,授權了短信操作的一系列權限之后,那就別想好好的玩游戲了,因為你會不斷的被發送信息的提示和短信授權提醒所煩擾。訂購短信會一直持續的發送,直到你把此軟件卸載,如果你的手機未修改短信發送的服務中心號碼,最好不要輕易的嘗試,發到你“傾家蕩產”。這種惡意扣費行為,如圖六耳獼猴使出“偷金竊銀”的手段,讓你防不勝防。
下面我們對其源碼進行分析,直接切入其短信發送的地方,發現發送短信的位置有很多,這里尋找一個發送短信,并注冊短信監聽的地方作為示例。在深入研究中,發現在本地文件files中一個k9ls.dex的dex文件也為注冊監聽,操作短信的動態加載文件,操作短信的代碼都一樣,這里不再做闡述,發送短信的源碼如圖2-5所示:
圖2-5 發送短信代碼
根據手機發送的訂購短信,數量和種類如此之多,數據可能是從網絡動態獲取或者本地加密文件中存儲,上面我們知道它的加密文件是很多的,經過深入分析,我們追蹤到其是用SQLiteDatabase進行了存儲,但是對數據庫的操作地方均使用了代碼混淆技術,操作SQLiteDatabase的混淆代碼如圖2-6所示:
圖2-6 短信相關數據庫操作混淆代碼
經過對混淆代碼的處理,最終我們在應用本地文件中找到了短信信息相關的兩個數據庫,分別是076311815970064文件和msg_com.yf.y.f.init.plugin.dao.DBOpenHelper.db數據庫文件,兩個數據庫中相關表的內容如圖2-7和圖2-8所示:
圖2-7 076311815970064數據庫相關表數據
圖2-8 DBOpenHelper數據庫相關表數據
最后,通過對本地本地文件和數據庫的分析,我們知道它是通過網絡獲取短信port和cmd,存儲到本地數據庫進行使用和記錄。確定是網絡動態獲取之后,我們抓取協議包進行分析,最終在地址http://p*.*****.cc/index.php/MC/RP中獲取短信內容的信息列表,共有22條業務短信內容。經常分析此類病毒的安全人員都知道,此病毒是使用了此域名所有者公司的電信業務,在此不再對齊進行溯源分析。短信內容獲取的協議包,如圖2-9所示:
圖2-9 業務短信內容獲取協議包
2.3 獼猴之“火眼金睛”
西游記中孫悟空的“火眼金睛” 是用來識別妖魔鬼怪的,而這里說的“火眼金睛”是用來窺探用戶隱私的,此病毒在其運行期間,注冊多個監聽,監聽和操作用戶的短信,獲取用戶運行的task,并獲取用戶電話號碼和設備信息。Android中獲取這些信息都有其流程和相應API,這里不過多說明,只是把相應代碼作為示例列舉。監聽短信、獲取電話號碼和獲取sim卡信息(其他設備信息不再列舉)分別如圖2-10、圖2-11和圖2-12所示:
圖2-10 監聽用戶短信接收
圖2-11 獲取用戶電話號碼
圖2-12 獲取用戶sim卡信息
2.4 獼猴之召喚妖孽
此病毒安裝之后會在手機上,匿名頻繁彈出懸浮窗,推廣多個病毒軟件和部分正常應用,當用戶不小心觸摸到懸浮窗時,直接進行推廣應用下載。其推廣的軟件經過研判,多數為病毒應用,如同更多的“妖孽”一般。匿名懸浮窗輪播圖運行界面如圖2-13所示:
圖2-13 匿名彈窗推廣軟件
我們對其懸浮窗推廣的應用列表信息進行追蹤,發現源碼中并不能方便的獲取到,因為其加密文件的數量和代碼混淆以及數據加密做的防護措施,想要獲取其推廣列表并不是一件輕松的工作。關于是本地解密或聯網加密文件獲取還是聯網直接數據獲取,我們從最簡單的聯網直接獲取進行入手,還好我們有強大的協議包獲取分析工具,利用Charles發現其使用HTTPS協議進行動態的獲取推廣列表,獲得的推廣數據及其服務器地址https://q***.******.top/zutlkWrCr,如圖2-14所示:
圖2-14 推廣軟件獲取協議包
從上面我們可以看到它的推廣軟件下載服務器和備用服務器地址分別為http://cdn.***.******.top/upload/和http://cdn.***.******.top/upload。為了大家直觀的感受它的推廣狀態,如廣告的id和type等,我們找到它本地存儲的數據庫qgg.db進行數據展示,如圖2-15所示:
圖2-15 推廣軟件本地數據庫數據展示
3 獼猴身世之謎
躲避安全軟件病毒檢測,做到動態加載dex,代碼混淆和數據加密等多重技術為了推廣應用和業務訂購謀取暴利的到底是何方神圣呢?就像那個永遠討論的話題“六耳獼猴的身世之謎”。我們通過研究得到的三個服務器地址,分別是https://q***.m*****.top/zutlkWrCr、http://cdn.a**.w*****.top/upload/和http://cdn.***.f****.top/upload,對其域名進行溯源追蹤,能夠獲得相應的一些信息,如聯系電話和郵箱,但是是否是創造者或者傳播者都需要更多的證據支持。對域名的whois反查的結果如圖3-1、圖3-2和圖3-3所示:
圖3-1 m*****.top域名反查結果
圖3-2 w******.top域名反查結果
圖3-3 f****.top域名反查結果
4 如來護體金光
盜版病毒應用,不僅侵害了開發商的利益,也給我們用戶帶來重大影響,針對這個問題我們相應的也從開發商和用戶兩個方面給出安全防護建議。
開發商在開發應用時可以從以下幾個方面做出安全防護:
Ø 對應用進行安全加固,采用現在主流的安全加固廠商的企業加固方案。
Ø 對應用進行嚴格的簽名保護,采用應用重打包防護檢測。
Ø 對源碼采用高級混淆機制,禁止別人二次使用。
Ø 對應用數據和協議包數據進行加密。
Ø 增加維權意識,堅決維護自身利益。
用戶在使用應用時,可以從以下幾個方面避免此類應用:
Ø 建議用戶提高警覺性,使用軟件請到官網下載。到應用商店進行下載正版軟件,避免從論壇等下載軟件,可以有效的減少該類病毒的侵害。
Ø 關注”暗影安全實驗室”公眾號,獲取最新實時移動安全狀態,避免給您造成損失和危害。
Ø 安全需要做到防患于未然,可以使用恒安嘉新公司的APP威脅檢測與態勢分析平臺進行分析對Android樣本提取信息并進行關聯分析和檢測。
Ø 用戶發現感染手機病毒軟件之后,可以向“12321網絡不良與垃圾信息舉報受理中心”或“中國反網絡病毒聯盟”進行舉報,使病毒軟件能夠第一時間被查殺和攔截。
| 
