新闻链接：5abK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8Y4c8W2M7X3#2A6L8X3q4D9i4K6u0r3z5o6f1H3y4o6k6Q4x3X3g2Z5N6r3#2D9
新闻时间：2015-11-11
新闻正文：

近日，猎豹移动安全实验室发现了一个危险系数较高的木马，该木马被称为Cloudsota。研究发现：该木马是一开始是被预装在一些Android平板上。而从目前的情况来看，遭受该木马感染的平板依然放置在亚马逊的购物架上，并且处于销售状态。

发现之路：起于受害用户的抱怨

通过对收集的信息进行分析，该木马其实已经存在有一段时间了，而其间也有不少受害用户一直在 XDA、TechKnow等网上交流论坛上寻求帮助。

而在亚马逊上也发现了一些购买了平板的用户的抱怨。

恶意行径：Cloudsota木马伸出了恶魔之手

经过分析发现，Cloudsota木马能够远程控制受感染的设备，可在在未经用户允许的情况下，进行带有目的性的恶意操作。

安全专家目前经过分析及研究，已经检测到Cloudsota的主要行为轨迹。

首先，它可以直接将恶意广告软件或者其他的恶意软件安装到设备上。同时在初始阶段，该木马会先将杀毒应用卸载掉，从而方便进行其他的恶意操作。我们也发现，在root权限下，它不但能够自动打开所有安装在设备上的应用，而且经过检测，该木马会将开机动画和壁纸都替换成广告。和众多恶意广告软件一样，Cloudsota还会将浏览器的默认主页篡改，并重定向到一个广告页面上，绑定用户进行浏览。

影响：超过153个国家地区的用户受到影响

根据我们初步的估算，至少有17,233台受感染的平板被线下的用户购买，并已经通过物流交付到用户手中。该数据的估算是基于猎豹移动收集的匿名数据。而由于目前许多平板是不受杀毒应用的保护，实际上感染设备的数量可能比我们预计要多得多。

其中最让我们担心的是，这些平板电脑在许多电商平台都有出售，不乏零售巨头，像亚马逊。

从当前的情况来看，显然大多数人都不知道cloudsota的潜在风险和破坏性，而在这里，必须提醒广大用户，可以说，这是一个定时炸弹，随时都有可能威胁个人隐私和财产安全。

根据跟踪研究发现，目前有超过30个品牌的平板被预装了该木马，而相对于大型品牌的平板电脑，影响最大的是一些小众品牌的平板。据统计，超过4000台受影响的小众品牌平板已经被出售到全球各地。

目前我们已经告知了被发现预装该木马的各大品牌平板公司。同时，我们也在反馈中，建议这些制造商能够仔细研究分析其系统固件，但很不幸，截止到目前为止，没有厂商回应此事件。

在遭受该木马感染的超过153个国家和地区中，美国、墨西哥和土耳其的情况是最为严重的。 

我们可以在网上看到许多用户纷纷在亚马逊上评论，抱怨设备经常出现广告和弹窗。而根据对收集到的信息进行统计，发现这些预装该木马的平板都有一定的相同之处，就是所有的这些平板，它们的价格都是比较廉价的，并且可以追溯到它们的制造商其实出自于一些不知名的小型车间。下面是一个不完整统计的在亚马逊上疑似预装木马的品牌列表：

而当我们也发现一个有问题的平板电脑后，我们随即发送了通知给到亚马逊，阐述了目前发生的问题。我们也相信，亚马逊可以通过其客户的投诉和评论来证实我们的信息。

反编译：对木马Cloudsota的技术分析

许多用户反映说，他们的平板被锁定为演示模式，并且在屏幕上一直会出现一个红色的“Demo”。而根据我们的分析，其实该情况（即出现红色的“Demo”）并不是由木马Cloudsota引起的。实际上，该红色“Demo”源于系统组件package-SystemUI.apk。我们发现，当设备开机的时候，在SystemUI.apk中的恶意代码便会执行，它的目的是检查com.clouds.server （即为Cloudsota）是否被安装在平板上，如果没有的话，它会尝试进行安装。而进一步，如果安装失败，那么就会出现上述的情况，一个大大的红色“Demo”出现在屏幕中间。以下是部分代码信息，

（一）重新启动后的恢复机制

我们发现即使移除了该木马，它在设备重新启动之后又会再次出现。原来，该木马是嵌入到 boot.img /cloudsota/CloudsService.apk中，这样使得该木马能够在用户重启设备之后进行自我恢复。这样看来，该木马是相当难缠的。我们可以从下面的脚本中看到，每一次重启设备之后，init.rc脚本都会重新恢复木马。

（二）篡改浏览器主页

当用户开启设备时，为了获取篡改的操作指令，Cloudsota会频繁地与外部服务器进行通信（约每30分钟一次），篡改浏览器主页的指令如下所述：

在这过程中，我们也截获了一些数据：

请注意该网址：cloudsota.com

（三）静默安装Apps

跟篡改浏览器主页相似，cloudsota也会从云端的服务器获取一个apps列表，然后直接在用户的设备上静默安装。根据目前的分析和调查，一般来说，用户是很难移除这些apps的。具体执行的部分代码段如下，

我们获取到该木马执行的一些信息，如下 

8e4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8G2N6$3&6D9L8$3q4V1i4K6u0W2j5$3I4G2N6h3c8K6L8%4c8S2i4K6u0W2j5$3!0E0i4K6u0r3j5i4m8C8i4K6u0r3L8%4c8S2i4K6u0r3x3e0b7K6z5o6V1&6z5e0V1K6y4g2)9J5c8V1y4S2L8r3g2F1k6r3q4J5f1$3g2J5N6X3W2U0k6g2)9J5k6h3q4H3K9H3`.`.
fe7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8G2N6$3&6D9L8$3q4V1i4K6u0W2j5$3I4G2N6h3c8K6L8%4c8S2i4K6u0W2j5$3!0E0i4K6u0r3j5i4m8C8i4K6u0r3L8%4c8S2i4K6u0r3x3e0b7@1x3o6f1$3z5e0x3#2x3g2)9J5c8V1y4D9L8%4g2V1M7#2y4W2M7Y4k6A6j5$3g2Q4x3X3g2S2M7r3D9`.
606K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8G2N6$3&6D9L8$3q4V1i4K6u0W2j5$3I4G2N6h3c8K6L8%4c8S2i4K6u0W2j5$3!0E0i4K6u0r3j5i4m8C8i4K6u0r3c8q4y4n7i4K6u0r3x3K6V1K6i4K6u0r3k6s2y4T1i4K6g2X3j5h3W2B7K9h3q4F1x3W2)9J5k6h3q4H3K9H3`.`.
17cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8G2N6$3&6D9L8$3q4V1i4K6u0W2j5$3I4G2N6h3c8K6L8%4c8S2i4K6u0W2j5$3!0E0i4K6u0r3j5i4m8C8i4K6u0r3e0h3!0H3L8#2m8D9j5i4W2Q4x3V1j5@1x3K6p5@1i4K6u0r3e0h3!0H3L8#2m8D9j5i4W2Q4x3X3g2S2M7r3D9`.
2deK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8G2N6$3&6D9L8$3q4V1i4K6u0W2j5$3I4G2N6h3c8K6L8%4c8S2i4K6u0W2j5$3!0E0i4K6u0r3j5i4m8C8i4K6u0r3L8h3q4^5N6r3S2G2L8W2)9J5c8U0t1&6x3e0g2Q4x3V1k6Z5k6$3&6G2M7X3#2S2L8q4)9#2k6Y4u0W2L8h3!0@1k6g2)9#2k6X3#2S2M7%4c8W2M7W2)9J5k6h3q4H3K9H3`.`.

（四）其他检测到的行为

该木马也可以进行以下操作：

1、更改设备的启动动画（在每一次启动后，用户都会看到烦人的广告！）；
2、卸载设备上的应用程序（主要卸载设备上的杀毒应用和应用于保护设备的root 工具）；
3、将广告设置为壁纸（每次点击Home键的时候，又是极其烦人的广告！）；
4、打开设备上的任何应用程序；
5、创建广告弹窗。

以上是经过分析，我们获取到的该木马的主要行为轨迹。那到这里，我们是不是有点明白了为什么这些平板会这么便宜呢？

攻击者很可能来自中国

我们目前也已经有了初步的证据证明，该Cloudsota木马的幕后操纵者是来自中国，主要的判断依据如下：

1、从我们提取的木马链接来看，在WHOIS上面对97dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4D9L8%4g2V1M7$3!0@1j5g2)9J5k6h3y4G2L8g2!0q4z5q4!0n7c8W2)9&6b7W2!0q4z5q4!0m8x3g2)9^5b7#2!0q4y4W2)9&6c8W2!0m8y4g2!0q4z5q4!0m8c8W2!0m8x3W2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4q4!0n7b7W2)9^5c8g2!0q4y4W2)9&6c8W2!0m8y4g2!0q4z5q4!0m8c8W2!0m8x3W2!0q4y4#2!0n7b7W2)9&6x3#2!0q4y4W2)9&6c8g2)9&6b7#2!0q4y4#2)9&6b7#2)9^5b7W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9&6b7#2)9^5c8q4!0q4y4g2)9^5b7g2!0m8x3g2!0q4y4g2)9&6z5g2!0m8z5q4!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4W2!0n7y4#2!0n7x3g2!0q4y4g2)9&6b7#2!0n7x3#2!0q4y4W2!0n7x3#2!0m8z5q4!0q4y4g2)9^5y4W2)9^5b7#2!0q4y4#2)9&6b7g2)9^5y4q4!0q4x3#2)9^5x3q4)9^5x3R3`.`.

显示的部分信息如下，

所有者: QIU BIHUI
注册地址：宝安区西乡
注册城市：深圳
注册省区：广东省
邮政编码：518101

其他的信息包括一些联系方式就不在这里多提了。

2、大部分代码注释都是用中文写的。

3、平板的制造厂商来自中国

解决办法与建议

对于拥有感染设备用户：我们在博客中有移除的办法可供参考，请移步 manual removal instructions进行详细了解。

对于电商平台：我们建议应该更加严格地去审核产品供应商，这也是对消费者的负责。

在分析报告中，我们从下面的网站和机构中获取了一些原始数据进行参考，非常感谢他们的支持！

致谢：833K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6g2c8W2j5$3S2C8L8X3!0%4i4K6u0W2L8h3g2Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6u0r3i4K6t1$3L8X3u0K6M7q4)9K6b7Y4N6%4N6#2)9J5k6g2c8W2j5$3S2C8L8X3!0%4i4K6u0W2L8$3&6W2

更加详细的信息可以参考：Appendix

*参考来源：cmcm，FB小编troy编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）
收藏该文

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课