安全動(dòng)態(tài)

一家中國(guó)廣告公司,如何利用惡意軟件感染全球8500萬(wàn)臺(tái)手機(jī)
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-07-06    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf  

最近Check Point發(fā)布了一份非常詳細(xì)的報(bào)告,談到一款名為HummingBad的Android惡意程序。此惡意程序在行為方式上和先前一些相當(dāng)霸道的Android惡意程序類(lèi)似,不過(guò)它有幾大亮點(diǎn):其一背后操縱者來(lái)自中國(guó)重慶(注意下面還有地址哦…);其二其感染范圍極為廣泛,Check Point研究人員表示,HummingBad顧及已經(jīng)感染了8500萬(wàn)臺(tái)設(shè)備。

2B3F4389-396B-4C59-B269-4D31CFE913C3.png

HummingBad的實(shí)例增長(zhǎng)

HummingBad幕后團(tuán)隊(duì)大曝光

Check Point在報(bào)告中將這款A(yù)ndroid惡意程序稱(chēng)作HummingBad。這款?lèi)阂獬绦虻淖髡呤菄?guó)內(nèi)的一家廣告公司,名叫微贏互動(dòng)(Yingmob!這下火了?。heck Point在報(bào)告中毫不留情地揭露了這家公司的一些細(xì)節(jié)信息。

7680EE09-F256-4FA3-90B2-C90FBD7B6E3F.png

連工位都有啊!

據(jù)說(shuō)微贏互動(dòng)內(nèi)部還是有好幾個(gè)團(tuán)隊(duì)在開(kāi)發(fā)合法追蹤和廣告平臺(tái)的。而負(fù)責(zé)開(kāi)發(fā)像HummingBad這樣惡意產(chǎn)品的團(tuán)隊(duì)名為“海外平臺(tái)開(kāi)發(fā)團(tuán)隊(duì)”,這個(gè)團(tuán)隊(duì)內(nèi)部有4個(gè)小組,共25名成員。

該團(tuán)隊(duì)有三個(gè)開(kāi)發(fā)項(xiàng)目,分別是Eomobi(就是HummingBad惡意組件產(chǎn)品)、Hummer Offers(廣告服務(wù)器分析平臺(tái))、Hummer啟動(dòng)器(這實(shí)際上是個(gè)廣告服務(wù)Android應(yīng)用開(kāi)發(fā)包),共開(kāi)發(fā)6條產(chǎn)品線(xiàn):

1.Ebomi

2.Hummer啟動(dòng)器

3.Root軟件開(kāi)發(fā)套裝(SDK)

4.Hummer Offers

5.MAT

6.Unitemobi

這家公司其實(shí)算不上惡意程序的新人。早在2015年的時(shí)候,Palo Alto曾經(jīng)發(fā)布過(guò)一款iOS惡意程序YiSpecter的報(bào)告。當(dāng)時(shí)Palo Alto就認(rèn)為YiSpecter應(yīng)該與微贏互動(dòng)有關(guān),因?yàn)檫@款?lèi)阂獬绦蚝灻褪俏②A企業(yè)證書(shū)。

Check Point這次的報(bào)告則提到HummingBad和YiSpecter相比,有著相同的C&C服務(wù)器地址,行為方式也很相似。另外HummingBad內(nèi)部還包含QVOD快播文檔(Check Point直接將之稱(chēng)作iOS色情播放器,淚奔…),這其實(shí)跟Yispecter也有關(guān)聯(lián)。

HummingBad的目標(biāo)當(dāng)然是賺錢(qián)!

CheckPoint預(yù)計(jì),HummingBad每天都會(huì)推2000萬(wàn)廣告內(nèi)容,其點(diǎn)擊率大約為12.5%,也就是說(shuō)每天的廣告點(diǎn)擊量約為250萬(wàn)次。此外,HummingBad每天還安裝超過(guò)50000個(gè)欺詐應(yīng)用。

預(yù)計(jì)微贏互動(dòng)每天光從廣告點(diǎn)擊,就能獲取超過(guò)3000美元的收益,而詐騙應(yīng)用的安裝則能獲取7500美元/天。換算下來(lái)一個(gè)月就是30萬(wàn)美元,一年則為360萬(wàn)美元。

當(dāng)前HummingBad已經(jīng)感染了8500萬(wàn)臺(tái)Android設(shè)備。不止于此,由于這款?lèi)阂獬绦驎?huì)非法對(duì)Android設(shè)備進(jìn)行Root操作,實(shí)現(xiàn)各類(lèi)惡意程序的推送,這些設(shè)備幾乎就是被徹底掌控的。這些設(shè)備上的數(shù)據(jù)風(fēng)險(xiǎn)自不必多說(shuō),將它們組成僵尸網(wǎng)絡(luò),發(fā)起攻擊,或者將這些訪(fǎng)問(wèn)權(quán)限賣(mài)到黑市,都全然不在話(huà)下。

CA88DD66-4DA6-44E6-A5C6-9951A446C840.png

微贏互動(dòng)用他們自家的Umeng服務(wù)來(lái)追蹤HummingBad的感染情況(專(zhuān)業(yè)?。腢meng的控制面板來(lái)看,這家公司“注冊(cè)”了近200款應(yīng)用,預(yù)計(jì)其中25%都是惡意程序,用于分發(fā)HummingBad惡意程序。上面這張圖也來(lái)自Umeng的統(tǒng)計(jì),從去年8月份開(kāi)始,其活躍性成長(zhǎng)表現(xiàn)還是相當(dāng)不錯(cuò)的。

C1B9D43F-58FD-42AF-9856-987CA876A012.png

從HummingBad當(dāng)前影響的國(guó)家地區(qū)來(lái)看,這款?lèi)阂獬绦虍?dāng)前應(yīng)該算是個(gè)跨國(guó)惡意程序,雖然主要感染地區(qū)還是在中國(guó)和印度,其他各國(guó)的感染數(shù)量也是相當(dāng)可觀(guān)的。

惡意行為分析

這次的報(bào)告中提到,HummingBad首次感染方法應(yīng)該是隱藏下載攻擊(drive-by download),部分成人內(nèi)容站點(diǎn)也提供了相應(yīng)的惡意payload。

而HummingBad本身包含了兩個(gè)主要組成部分,其中一個(gè)組件負(fù)責(zé)對(duì)Android設(shè)備進(jìn)行Root操作,Rootkit會(huì)考慮利用多種不同的漏洞。Root成功后,攻擊者就能完全獲取設(shè)備的訪(fǎng)問(wèn)權(quán)限。如果Root失敗,第二套組件就會(huì)生成一個(gè)欺騙性的系統(tǒng)升級(jí)通知,欺騙用戶(hù)讓HummingBad獲取系統(tǒng)級(jí)權(quán)限(Root還是關(guān)鍵呀?。?。無(wú)論Root是否成功,HummingBad都會(huì)盡可能下載大量欺詐應(yīng)用。

46982219-23B8-4A8F-93ED-EFB43922DBCA.png

模擬點(diǎn)擊的代碼

整套HummingBad包含好幾個(gè)惡意組件。首要的組件名為SSP,其作用是顯示非法廣告、安裝欺詐應(yīng)用。該組件通過(guò)4個(gè)事件觸發(fā):設(shè)備啟動(dòng)、屏幕開(kāi)啟/關(guān)閉、設(shè)備連接任意變化、用戶(hù)檢測(cè)(聽(tīng)說(shuō)過(guò)Android系統(tǒng)中的Receiver嗎?這類(lèi)行為其實(shí)是完全合法的)。

觸發(fā)過(guò)后,SSP開(kāi)啟名為Se的服務(wù),初始化惡意邏輯,并且開(kāi)啟廣告網(wǎng)絡(luò)。SSP還會(huì)開(kāi)啟計(jì)時(shí)器,每10秒鐘計(jì)劃一次LockTask,如果滿(mǎn)足相應(yīng)條件(比如互聯(lián)網(wǎng)連接、從服務(wù)器獲取到設(shè)置,時(shí)間延遲等),LockTask就會(huì)重啟Se服務(wù),并且啟動(dòng)MainActivity進(jìn)程,激活?lèi)阂鈖ayload。

MainActivity進(jìn)程開(kāi)始之后,惡意程序會(huì)顯示廣告banner,廣告上面會(huì)有個(gè)關(guān)閉按鈕。實(shí)際上惡意程序會(huì)阻止用戶(hù)回到Home頁(yè),或者是進(jìn)行返回操作,這樣用戶(hù)就只能點(diǎn)擊該廣告了。用戶(hù)點(diǎn)擊所謂的“關(guān)閉”按鈕,實(shí)際上也是點(diǎn)擊一次廣告操作。在點(diǎn)擊廣告之后,SSP組件就會(huì)向服務(wù)器發(fā)出請(qǐng)求,給APK返回一個(gè)鏈接,SSP隨后再?gòu)姆?wù)器下載該APK文件(就是Android安裝文件嘛)。

1B1C178A-B76F-47EB-B60A-5D06EB25E6F6.png

那個(gè)“關(guān)閉”按鈕相關(guān)代碼

APK文件下載完成后,惡意應(yīng)用會(huì)檢查設(shè)備是否已經(jīng)Root。如果已經(jīng)Root,則默默地安裝下載的APK文件;如果沒(méi)有Root的話(huà),SSP會(huì)彈出用戶(hù)對(duì)話(huà)框,仍舊企圖進(jìn)行安裝操作。

下載的APK文件安裝完成后,SSP再啟動(dòng)該程序,并且廣播INSTALL_BEFERRER,通過(guò)從服務(wù)器獲取到的信息來(lái)偽造Google Play的安裝,并從廣告網(wǎng)絡(luò)中獲取廣告收益(難道這不是僅針對(duì)國(guó)際用戶(hù)的么?)。

作為一個(gè)合格的惡意程序,肯定還要獲取更新、發(fā)回報(bào)告。SSP會(huì)從某JSON文件檢索C&C域名。這里的JSON文件是從d1qxrv0ap6yf2e.cloudfront[.]net/domain/xxx.json 下載的,值大概是這樣的: 

	

		? {"id":3,"name":"CAP","master":"032o[.]com","slave":"032n[.]com"}
	


	

		? {"id":4,"name":"SSP&CCSDK","master":"guangbom[.]com","slave":"ssppsspp[.]com"}
	


	

		? {"id":5,"name":"asdf","master":"asdf","slave":"asdf"} //I think
	


	

		? {"id":6,"name":"efwe","master":"gwsgs","slave":"dgss"}//it's unused
	


	

		? {"id":7,"name":"1","master":"1","slave":"1"} //and this
	


	

		? {"id":8,"name":"CAP-DW","master":"ccaa100[.]com","slave":"ccaa200[.]com"}
	


	

		? {"id":9,"name":"SSP-DW","master":"cscs100[.]com","slave":"cscs200[.]com"}
	


	

		? {"id":11,"name":"HM-JK","master":"hmapi[.]com","slave":"eoapi[.]com"}
	


	

		? {"id":12,"name":"易盟-易窗","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
	


	

		? {"id":13,"name":"易盟-易推","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
	


	

		? {"id":14,"name":"易盟-啟彈","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
	


	

		? {"id":15,"name":"iadpush","master":"ma2.lb0408[.]com","slave":"sl2.lb0408[.]com"}
	


	

		? {"id":16,"name":"1mob-fudian","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
	


	

		? {"id":17,"name":"QS","master":"aa0ad[.]com","slave":"aa0ab[.]com"}
	


	

		? {"id":18,"name":"1mob-xin(點(diǎn)滴/BDSDK ","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}

除此之外,SSP還有一些行為,比如具體的Google Play進(jìn)程注入(SSP能夠向Google Play進(jìn)程注入一個(gè)庫(kù),惡意程序也就能夠偽裝Google Play商店中安裝、購(gòu)買(mǎi)、接受點(diǎn)擊操作;這里用到的是比較知名的ptrace,SSP能夠用ptrace來(lái)調(diào)用控制其他應(yīng)用,讀取、寫(xiě)入內(nèi)存等操作);還有RightCore惡意組件,其實(shí)應(yīng)該算是SSP的一個(gè)早期版本;CAP組件采用比較復(fù)雜的技術(shù)負(fù)責(zé)安裝欺詐應(yīng)用,實(shí)現(xiàn)欺騙IMEI碼注入,執(zhí)行Google Play的點(diǎn)擊模擬操作等等。

對(duì)這些感興趣的同學(xué)可以點(diǎn)擊這里,查看Check Point提供的詳情。

20150603015140240.jpg

在Check Point看來(lái),微贏互動(dòng)可能是首個(gè)曝光到大眾面前、如此高度組織化推惡意程序的團(tuán)隊(duì)?;蛟S這種趨勢(shì)未來(lái)還會(huì)持續(xù),引來(lái)其他團(tuán)隊(duì)的學(xué)習(xí),實(shí)現(xiàn)復(fù)雜攻擊的獨(dú)立化運(yùn)營(yíng)。甚至將這樣掌控僵尸網(wǎng)絡(luò)的權(quán)限,提供給某些組織或政府機(jī)關(guān),情況就更加復(fù)雜了。

* FreeBuf官方報(bào)道,本文原創(chuàng)作者:歐陽(yáng)洋蔥,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客(FreeBuf.COM)


 
 

上一篇:網(wǎng)絡(luò)安全“全面防”,應(yīng)對(duì)難以察覺(jué)的網(wǎng)絡(luò)威脅!

下一篇:2016年07月06日 聚銘安全速遞