腾讯御安全深度解析新型流量盗刷病毒家族

【关键词：腾讯御安全，APK漏洞扫描, 应用安全, 应用漏洞】

近期，腾讯安全反诈骗实验室的新一代AI引擎TRP，基于应用行为、网络行为等维度进行人工智能学习训练，从海量APK文件检出一款新型流量盗刷病毒家族，其开发者嚣张留下痕迹称其为“ /evil/invisible”——我们将其命名为“隐匿恶魔”。腾讯御安全发现，该病毒一旦进入用户设备后，其内置云控模块就会下发云控指令控制用户设备执行后台模拟广告点击等非法操作！

前言,  神羊情报分析平台“揪出”幕后黑手

神羊是腾讯御安全技术支持腾讯安全联合实验室研发的一款情报分析系统，输入病毒样本相关的IP、域名、电话号码或邮箱等线索，就能对线索进行溯源分析并呈现整合结果。
当确认某SDK模块是恶意行为发起方，我们通过神羊定位到名为上海柚稻信息技术有限公司与此事有关。我们已将相关线索提交给相关部门评估处理，目前用户可以通过手机管家进行拦截查杀。

一、 AI引擎聚类关联发现：多款正规应用被重打包

该恶意病毒家族通过SDK代码集成、应用重打包等方式嵌入各类流行应用中，然后通过应用市场、软件下载站、线下手机店等渠道安装到用户手机；不仅多米音乐等多款流行应用都不慎被植入“隐匿恶魔”，某应用市场PC版及非官方ROM也成为了病毒的植入渠道，根据神羊情报，该家族主要通过几种方式大量传播：

伪装成系统应用并通过某些PC应用市场模块进行线下推广

·         通过非官方ROM植入用户手机

·         通过合作植入到一些流行应用中

·         通过重打包流行应用然后诱导用户下载

二 、详细分析报告如下：

1.样本基本信息
应用名：系统设置
包名：com.android.system.settings
证书：ECC18BE38235706A4A46B96568C57A0D

恶意行为：

主要访问域名：
任务下发域名 api.jsi**.com
广告下发域名 a.you***dia.com（注册公司为“上海柚稻信息技术有限公司”）
                     api.miss***eenz.cn（可下发安装APK）
                     api.orange***3.cn（可下发安装APK）

涉及部分广告URL：

2.模拟广告点击流程分析

样本通过WebView加载HTML页面，并注入invisible.js到页面中，并提供模拟点击、滑动操作的接口。样本从服务器拉取广告任务，通过动态构造HTML元素加载广告，并点击广告，必要时由Java代码实现模拟点击、滑动操作。

1)    通过WebView加载URL，c16K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6h3A6K6K9g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5k6h3y4G2L8g2)9J5c8X3g2$3K9h3I4Q4x3V1k6A6L8Y4k6A6M7$3W2T1L8r3g2Q4x3X3g2Z5N6r3#2D9i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4@1t1&6i4@1t1$3i4@1f1&6i4K6R3H3i4K6W2m8i4@1f1^5i4@1u0r3i4K6R3%4L8r3!0S2k6q4g2J5L8q4!0q4y4W2!0n7x3#2!0m8z5q4!0q4y4g2)9^5y4g2!0m8y4h3S2@1N6s2m8Q4x3@1q4Q4x3V1k6Q4x3V1k6S2M7r3W2Q4x3X3g2B7M7$3W2Q4x3V1q4Q4x3V1q4Q4x3V1q4Q4x3X3g2U0L8$3#2Q4x3V1k6W2N6X3W2D9i4K6u0r3K9h3&6$3K9i4y4A6j5X3I4W2i4K6u0W2K9Y4x3`.

                                                                                                                      图 加载HTML

                                                                  
        图 注入js

2)请求广告
广告加载主要由785K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6h3A6K6i4K6u0m8i4K6u0m8i4K6u0m8i4K6u0W2j5$3!0E0i4K6u0r3k6i4k6A6L8q4)9J5c8X3W2F1N6X3W2K6K9h3u0D9k6g2)9J5k6h3S2@1L8h3I4Q4c8e0g2Q4b7f1g2Q4z5p5y4Q4c8e0k6Q4z5o6S2Q4z5e0l9`.

初始化任务列表：

任务列表：
 

                                                                                      
任务字段含义：

根据任务列表，向a.youe***dia.com请求广告信息：

                                                              
 
广告请求的设备信息由Java代码提供。
 

3)加载广告

广告请求返回如下JSON：

根据impression_monitor_url创建HTML元素：

                                     
4)模拟点击

点击操作实质上是通过访问广告请求的click_url实现：      
                                                                                             
         

                                            
如果是apk，则调用Java代码下载：

 
Java代码：

                                                
创建HTML元素：

                                                            
访问URL：

                                                              
5)针对百度提供的广告页面，模拟滚动后点击相应标签：

3.模拟Google Play Store

样本内包含了Google账号，并可模拟Google Play下载并安装应用，并模拟Google Play发送Google Play Install Referrer，启动应用。可以达到刷量的目的。

1)内置Google账号

应用内置了Play Store相关配置，也可通过JS代码下发。包含明文的Google账号密码：

                                               
账号和密码可动态更新：

2)从Play Store下载应用

首先获得认证的Token：

                                                    
 
获得文件下载地址并保存：

下载APK文件并安装：

                                          
  
3)启动应用

可以由服务端启动应用，对应的Java接口函数为loadAppF()、startApp()。两者的区别在于startApp()会模拟Google Play发送Google Play Install Referrer。Referrer被应用用于追踪安装行为，包括安装源和与之相关的广告事件。模拟Referrer可视为模拟Google Play安装应用。

启动应用过程如下：

函数loadLPPage()可受控打开某个URL获得Referer

服务端控制调用startApp()启动应用：

发送Referer：

                                                                 
 
4.关键函数接口

由2.2分析可知，样本加载分别HTML文件和JS，
491K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6h3A6K6K9g2)9J5b7g2)9J5b7h3&6Q4x3X3g2U0L8$3#2Q4x3V1k6W2N6X3W2D9i4K6u0r3K9h3&6$3K9i4y4A6j5X3I4W2i4K6u0W2K9s2c8E0L8l9`.`.
237K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6h3A6K6K9g2)9J5b7g2)9J5b7h3&6Q4x3X3g2U0L8$3#2Q4x3V1k6W2N6X3W2D9i4K6u0r3K9h3&6$3K9i4y4A6j5X3I4W2i4K6u0W2K9Y4x3`.

其中HTML文件提供模拟点击广告的功能，JS文件提供模拟点击API接口。

JS文件提供的接口

                                                   
与此对应Java代码通过WebView.addJavascriptInterface函数使得JS代码可以调用如下Android代码：

5.有root权限的情况下静默安装

                                         
 
6.启动浏览器访问指定页面

loadLPPage()除了获得Google Play Install Referrer之外，还可以使用浏览器打开指定URL：

 
三、 样本传播渠道

通过AI引擎网络行为分析发现，其任务还可通过以下三个同功能服务器进行下发：
api.oy***.com
42.51.2***.14
api.Ig***.com

1.线下传播渠道

我们发现一款名为USBHelper的部分版本也被植入EvilJS隐匿者恶意代码

                            
 
其推广渠道可能为线下及ROM：
                                               
 

2.知名应用通过SDK集成

 通过腾讯反诈骗实验室大数据分析发现，多米音乐6.7.5 ~ 6.8.7（最新版本）的版本包含有该恶意SDK模块。
多米音乐6.7.5仅部分样本包含该恶意SDK，到6.8.7版本，所有样本均包含该恶意SDK。最新版本的用户数88W+。
此外，爱上Radio（InternetRadio.all）、超级瑞士军刀（com.utooo.android.knife.free）也包含该恶意SDK。
                                                            
3.知名应用/游戏重打包

含有该恶意SDK的重打包应用（用户量较大的样本）：

     
含有该恶意SDK的游戏（用户量较大的样本）：

           
4.色情应用集成

部分色情样本也包含该恶意SDK。

关于腾讯安全反诈骗实验室

腾讯安全反诈骗实验室系中国首个安全实验室矩阵——腾讯安全联合实验室旗下的子实验室之一，与科恩实验室、玄武实验室、湛泸实验室、云鼎实验室、反病毒实验室、移动安全实验室，共同组成体系性的安全解决方案，专注安全技术研究及安全攻防体系搭建，安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域。

其中，腾讯御安全专注于个人和企业移动应用开发者的应用安全服务，拥有丰富的漏洞特征与病毒库，能够全面覆盖已知漏洞，可对99%的应用进行漏洞风险扫描；同时，应用加固服务具有防篡改、防逆向、防调试功能，应用在加固发布后，有效防止应用被二次打包，不被攻击。

作为联合业界一起基于大数据的方法，构建基于终端、管道和云端全覆盖的创新黑产分析和阻击模式的研究中心，腾讯安全反诈骗实验室目前以安全云库，智能反诈骗引擎，反诈骗专家智库三大核心利器守护网络安全。

不断深耕安全能力的同时，腾讯安全反诈骗实验秉承开放、联合、共享持续赋能社会各界。在刚刚过去的2017年中，腾讯安全反诈骗实验室先后与国家食药总局、国家工商总局、北京市金融工作局、深圳市金融办达成战略合作，共同探索政企合作打击黑产模式，并创建互联网食药大数据监管指数平台、网络传销态势感知平台、大数据金融安全监管科技平台，协助国家政府职能机构提升在食药安全、反传销、反金融欺诈等领域的监管能力。

同时为了更加高效地打击愈来愈“产业化、智能化、国际化”的网络犯罪，腾讯安全反诈骗实验室通过灵鲲、神侦、网络态势感知、鹰眼、麒麟、神羊、神荼等十余款反诈骗产品共同组建而成的反诈骗智慧大脑，构建了全链条的防护体系，能够在诈骗的事前、事中以及案情分析等关键环节起到作用,为警方以及金融、食品药监、通讯等监管部门提供了全方位的人工智能+大数据反诈骗体系。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课