Fake System木马惊现新变种,百万Android设备沦为肉鸡

一、概述

近期,腾讯反欺骗实验室自研的TRP-AI反病毒引擎捕获到一批大年夜肆传播的Android后门木马病毒样本,此木马在用户设备上存在私自获取设备信息、后台频繁安装利用、后台发送短信等可疑行径。今朝,腾讯手机管家客户端已周全查杀FakeSystem病毒家族,已深度集成腾讯TRP-AI引擎的魅族手机用户可以完美防御该家族病毒的入侵。

颠末安然专家的阐发,这批病毒样本属于“Fake System”木马家族的新变种,此木马家族的样本基础上都因此“Power”、“UI组件”、“SystemBase”、“进程治理”和“系统对象”等显着仿冒系统利用的软件名进行命名,最早的样本呈现在2016年8月。“Fake System”木马病毒匿伏周期很长,应用了多种先辈的“逃逸”技巧来抗衡杀软,并集成了三大年夜主要的黑产变现手段以夺取灰色收益。

三大年夜技巧抗衡技巧:

1)静态检测技巧逃逸:类名、措施名肴杂成特殊符号,字符串暗藏未加密数组,每个类自动化天生不合的加密算法。

2)动态沙箱检测逃逸:18种设备状态监控,包括模拟器文件,xposed框架,ADB、Debugger和Usb连接状态等,周全识别非用户运行情况。

3)第三代云逃逸:将恶意功能剥离成payload文件并存储在云办事器,经由过程云端下发payload文件,在用户设备履行恶意功能代码.传统厂商很难捕获恶意代码进行检测。

三大年夜黑产变现手段:

1)恶意推广利用:从云端获图利用推广义务,对不合用户推广ROM内和ROM外利用。

2)恶意扣费短信:从云端获取扣费短信义务,操控中毒设备发送扣费短信。

3)广告作弊刷量:多广告平台,多种类型广告支持刷量,模拟广告的拉取,点击,下载,安装等数据上报。

二、木马影响面

根据腾讯反欺骗实验室大年夜数据引擎数据显示,近一个月光阴里,“Fake System”木马新变种的感染用户增长迅猛,在以前一个月的光阴里,几个新变种的感染用户都迅速增长到20万阁下,与此同时总体“Fake System”木马的感染用户也大年夜幅增长,影响近百万用户。

木马感染用户系统版本分布

腾讯安然反欺骗实验室自研的TRP-AI反病毒引擎基于利用的行径进行深度进修,能有效探测利用的可疑操作,很好的应对上述木马采纳的逃逸技巧,今朝已周全支持查杀该木马家族。

三、木马利器具体阐发

“Fake System”木马的主要传播道路有:经由过程色情和游戏利用进行传播;经由过程木马老样本的进行传播;地下刷机渠道等要领。

我们以新捕获的样本“UI”组件,对“FakeSystem”木马的作罪过径进行具体阐发。

3.1 样本基础信息

利用名:UI组件

包名:dozx.wkkv.szzd.njag

证书:8c2b3fbd6fe808f0b67801ecf64f1c02

恶意行径流程图:

主要造访URL:

设备注册

http://106.**.**.81/ad/api/sdklog.php http://123.**.**.38/main/api/sdklog.php http://106.**.**.110/main/api/update.php

JAR包更新

http://106.**.**.83/ad/api/update.php http://123.**.**.196/main/api/update.php http://106.**.**.110/main/api/update.php

义务获取

http://106.**.**.105/main/api/data.php

运行事故上报

http://106.**.**.26/main/eventlog/adlog.php

GDT刷量插件更新

http://123.**.**.196/gt/content/upd.php

3.2 样本编码特性

恶意利用从早期的样本开始就采纳了很强的代码肴杂技巧。

1、将核心代码的类名、措施名肴杂成各类特殊符号。

2、针对每个类,自动化天生不合的字符串调换加密算法,对所有的字符串信息进行加密处置惩罚,加大年夜了病毒样本分析的难度。

3.3 恶意木马功能阐发

3.3.1 木马利用主框架

木马利用启动后,主要完成以下几个动作:

1、监控设备情况;

2、连接CC办事器,注册设备;

3、设置触发器义务,并设置重复准时义务,距离必然光阴拉起触发器义务。

1)监控设备情况

利用Monitor.start()措施中对18种设备状态进行监控,包括对一些虚拟机文件,xposed框架,ADB、Debugger和Usb连接状态等信息进行监控,主要用于识别木马利用的运行情况,避免在蜜罐和试验情况中触发恶意行径。

[1] [2] [3] [4]下一页

2)设备注册

利用的MainAction.register()措施中会连接CC办事器,哀求注册设备,将设备的基础信息如imei、imsi、brand、mac、系统版本、内核版本等信息,以及监控到的设备情况信息post到办事器,办事器则返回对应的注册结果。

post哀求参数:

注册哀求返回结果,可以看到返回的结果主要有注册设备的ID、注册光阴,kickoff、api版本、uidpush光阴等,这些参数会用到后续的与办事器链接的其他哀求中。

从返回数据中可以看到,测试设备获取的uid为32357573,每台设备注册后会被分配一个独一的uid,扫除一些无效的设备注册哀求环境,可以揣摸出此后门木马曾感染的设备也达到了很大年夜的量级。

3)触发器义务

利用会设置触发器,经由过程设置准时义务来拉起。触发器义务会去动态加载履行Jar包,若利用运行达到必然光阴,则会链接办事器,哀求更新jar包。

更新哀求post的参数与注册哀求类似,多了uid、reg、uidpush等参数。若办事器校验成功,则下发更新后的Jar包。

解析更新哀求返回内容,校验并存储Jar包到利用files目录。

JarLoader动态加载履行Jar包,Jar包的进口类为com.a.l.g.a,进口函数为b。

3.3.2 Jar包Analys.jar

analys.jar的主要功能有:

1、Root用户设备;

2、链接CC办事器,获取义务列表,包括利用推广义务和短信扣费义务;

3、上报运行信息;

4、动态加载其他恶意子包。

a)Root用户设备

jar包运行后会检测自己是否已经被安装在设备rom内,若没有安装在设备rom内,则会去考试测验root用户设备。

根据设备信息,选择不合的exp进行root:

主要应用到的相关exp列表:

b)获取义务

利用连接办事器,哀求义务:

义务哀求url:

解析返回数据,获取义务信息,义务信息主要包括设置下线光阴、是否自毁、调换系统debuggerd、Rom内APK下载安装义务和通俗APK下载安装义务。

InstallTask义务包括APK的下载链接、包名、launch进口、是否安装到Rom内等信息。

通俗APK的下载成功后应用pminstall敕令安装,而ROM内APK下载成功后,应用cat敕令将利用拷贝到设备的系统目录。

上一页[1] [2] [3] [4]下一页

通俗利用安装:

ROM内利用安装:

利用拉起:

根据腾讯大年夜数据关联阐发,“Fake System”木马恶意推广的利用数量宏大年夜,此中ROM利用主如果木马的其他病毒样本,平日“Fake System”木马会在感染用户设备上安装多个不合的病毒样本,确保对感染设备的节制;而木马在通俗类APK的推广上范围十分广泛,涉及多种类型的利用。木马私自下载安装的利用主要有:

同时,利用也会获取扣费短信义务,并根据设备的环境选择不合的短信发送要领来发送扣费短信。

短信发送要领

1、通俗发送:

2、反射发送:

3、注入发送:

经由过程注入so的要领对系统的短信治理器com.android.mms进行注入,绕过安然限制进行发送短信。

c)上报运行信息

运行一段光阴后,利用会将相关的运行信息上报给办事器。

RootEvent信息列表,主要事故有Root相关、短信扣费相关、利用推广相关事故的履行环境。

获取事故list并应用post哀求上报:

上报Url:

d)动态加载广告刷量插件

利用会动态加载和更新广告刷量插件,针对多家广告平台进行广告刷量作弊行径。

动态加载调用广告刷量插件,插件的进口类为e.g.g.e.Bridge,进口函数为dispatch。

3.3.3 广告刷量插件

广告刷量插件改动多家广告平台的SDK,捏造广告哀求,进行恶意的广告刷量行径。

a)破解协议,捏造广告哀求

针对广告平台A,改动广告SDK,捏造哀求进行插屏广告和banner广告刷量。

插屏广告:

Banner广告:

b)后台广告自动点击

针对广告平台B刷量:

上一页[1] [2] [3] [4]下一页

针对广告平台C刷量:

四、总结和防护建议

“Fake System”木马利用仿冒系统利用的软件名,且没有图标、恶意行径对通俗用户来说感知较弱,具有很强的隐蔽性。此木马功能强大年夜,用户设备一旦感染,即会成为黑产分子节制的“肉鸡”,沦为黑产分子进行利用推广、短信扣费、广告刷量的对象。

针对通俗用户若何避免受此木马的损害,我们对给出了如下防护建议:

1、不要安装非可托渠道的利用、不要随意点击不明URL链接和扫描安然性未知的二维码信息;

2、及时对设备进行安然更新;

3、安装腾讯手机管家等安然软件,实时进行保护;

4、若发明手机感染木马病毒,请及时应用安然软件进行清理,避免重复交叉感染。

另一方面,如今黑产分子使用手中节制的“肉鸡”进行恶意广告刷量等活动日益跋扈獗,对各大年夜广告平台和广告主带来了很大年夜的负面影响和经济丧掉。腾讯反欺骗实验室不停致力于袭击黑产,抗衡欺骗/敲诈,并在黑产抗衡、恶意代码识别、黑产团伙袭击方面有很深挚的技巧、数据积累。针对恶意利用的广告刷量行径,腾讯反欺骗实验室结合自身终端感知能力、覆盖能力以及对黑产设备、从业者信息积累等上风,向广告平台、广告主供给【移动互联网流量反敲诈办理规划】。广告平台、广告主可经由过程腾讯广告反敲诈办事对当前营销、推广整体状况进行有效评估,可准确、有效评估各渠道流量质量, 对敲诈流量进行精准袭击,防止不需要的推广资源付出。

上一页[1] [2] [3] [4]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包