一家中國廣告公司,如何利用惡意軟件感染全球8500萬臺手機 |
來源:聚銘網(wǎng)絡 發(fā)布時間:2016-07-06 瀏覽次數(shù): |
信息來源:FreeBuf
最近Check Point發(fā)布了一份非常詳細的報告,談到一款名為HummingBad的Android惡意程序。此惡意程序在行為方式上和先前一些相當霸道的Android惡意程序類似,不過它有幾大亮點:其一背后操縱者來自中國重慶(注意下面還有地址哦…);其二其感染范圍極為廣泛,Check Point研究人員表示,HummingBad顧及已經(jīng)感染了8500萬臺設備。
HummingBad的實例增長
Check Point在報告中將這款Android惡意程序稱作HummingBad。這款惡意程序的作者是國內(nèi)的一家廣告公司,名叫微贏互動(Yingmob!這下火了?。?。Check Point在報告中毫不留情地揭露了這家公司的一些細節(jié)信息。
連工位都有啊!
據(jù)說微贏互動內(nèi)部還是有好幾個團隊在開發(fā)合法追蹤和廣告平臺的。而負責開發(fā)像HummingBad這樣惡意產(chǎn)品的團隊名為“海外平臺開發(fā)團隊”,這個團隊內(nèi)部有4個小組,共25名成員。
該團隊有三個開發(fā)項目,分別是Eomobi(就是HummingBad惡意組件產(chǎn)品)、Hummer Offers(廣告服務器分析平臺)、Hummer啟動器(這實際上是個廣告服務Android應用開發(fā)包),共開發(fā)6條產(chǎn)品線:
1.Ebomi
2.Hummer啟動器
3.Root軟件開發(fā)套裝(SDK)
4.Hummer Offers
5.MAT
6.Unitemobi
這家公司其實算不上惡意程序的新人。早在2015年的時候,Palo Alto曾經(jīng)發(fā)布過一款iOS惡意程序YiSpecter的報告。當時Palo Alto就認為YiSpecter應該與微贏互動有關,因為這款惡意程序簽名就是微贏企業(yè)證書。
Check Point這次的報告則提到HummingBad和YiSpecter相比,有著相同的C&C服務器地址,行為方式也很相似。另外HummingBad內(nèi)部還包含QVOD快播文檔(Check Point直接將之稱作iOS色情播放器,淚奔…),這其實跟Yispecter也有關聯(lián)。
CheckPoint預計,HummingBad每天都會推2000萬廣告內(nèi)容,其點擊率大約為12.5%,也就是說每天的廣告點擊量約為250萬次。此外,HummingBad每天還安裝超過50000個欺詐應用。
預計微贏互動每天光從廣告點擊,就能獲取超過3000美元的收益,而詐騙應用的安裝則能獲取7500美元/天。換算下來一個月就是30萬美元,一年則為360萬美元。
當前HummingBad已經(jīng)感染了8500萬臺Android設備。不止于此,由于這款惡意程序會非法對Android設備進行Root操作,實現(xiàn)各類惡意程序的推送,這些設備幾乎就是被徹底掌控的。這些設備上的數(shù)據(jù)風險自不必多說,將它們組成僵尸網(wǎng)絡,發(fā)起攻擊,或者將這些訪問權(quán)限賣到黑市,都全然不在話下。
微贏互動用他們自家的Umeng服務來追蹤HummingBad的感染情況(專業(yè)?。?。從Umeng的控制面板來看,這家公司“注冊”了近200款應用,預計其中25%都是惡意程序,用于分發(fā)HummingBad惡意程序。上面這張圖也來自Umeng的統(tǒng)計,從去年8月份開始,其活躍性成長表現(xiàn)還是相當不錯的。
從HummingBad當前影響的國家地區(qū)來看,這款惡意程序當前應該算是個跨國惡意程序,雖然主要感染地區(qū)還是在中國和印度,其他各國的感染數(shù)量也是相當可觀的。
這次的報告中提到,HummingBad首次感染方法應該是隱藏下載攻擊(drive-by download),部分成人內(nèi)容站點也提供了相應的惡意payload。
而HummingBad本身包含了兩個主要組成部分,其中一個組件負責對Android設備進行Root操作,Rootkit會考慮利用多種不同的漏洞。Root成功后,攻擊者就能完全獲取設備的訪問權(quán)限。如果Root失敗,第二套組件就會生成一個欺騙性的系統(tǒng)升級通知,欺騙用戶讓HummingBad獲取系統(tǒng)級權(quán)限(Root還是關鍵呀?。o論Root是否成功,HummingBad都會盡可能下載大量欺詐應用。
模擬點擊的代碼
整套HummingBad包含好幾個惡意組件。首要的組件名為SSP,其作用是顯示非法廣告、安裝欺詐應用。該組件通過4個事件觸發(fā):設備啟動、屏幕開啟/關閉、設備連接任意變化、用戶檢測(聽說過Android系統(tǒng)中的Receiver嗎?這類行為其實是完全合法的)。
觸發(fā)過后,SSP開啟名為Se的服務,初始化惡意邏輯,并且開啟廣告網(wǎng)絡。SSP還會開啟計時器,每10秒鐘計劃一次LockTask,如果滿足相應條件(比如互聯(lián)網(wǎng)連接、從服務器獲取到設置,時間延遲等),LockTask就會重啟Se服務,并且啟動MainActivity進程,激活惡意payload。
MainActivity進程開始之后,惡意程序會顯示廣告banner,廣告上面會有個關閉按鈕。實際上惡意程序會阻止用戶回到Home頁,或者是進行返回操作,這樣用戶就只能點擊該廣告了。用戶點擊所謂的“關閉”按鈕,實際上也是點擊一次廣告操作。在點擊廣告之后,SSP組件就會向服務器發(fā)出請求,給APK返回一個鏈接,SSP隨后再從服務器下載該APK文件(就是Android安裝文件嘛)。
那個“關閉”按鈕相關代碼
APK文件下載完成后,惡意應用會檢查設備是否已經(jīng)Root。如果已經(jīng)Root,則默默地安裝下載的APK文件;如果沒有Root的話,SSP會彈出用戶對話框,仍舊企圖進行安裝操作。
下載的APK文件安裝完成后,SSP再啟動該程序,并且廣播INSTALL_BEFERRER,通過從服務器獲取到的信息來偽造Google Play的安裝,并從廣告網(wǎng)絡中獲取廣告收益(難道這不是僅針對國際用戶的么?)。
作為一個合格的惡意程序,肯定還要獲取更新、發(fā)回報告。SSP會從某JSON文件檢索C&C域名。這里的JSON文件是從d1qxrv0ap6yf2e.cloudfront[.]net/domain/xxx.json 下載的,值大概是這樣的:
? {"id":3,"name":"CAP","master":"032o[.]com","slave":"032n[.]com"}
? {"id":4,"name":"SSP&CCSDK","master":"guangbom[.]com","slave":"ssppsspp[.]com"}
? {"id":5,"name":"asdf","master":"asdf","slave":"asdf"} //I think
? {"id":6,"name":"efwe","master":"gwsgs","slave":"dgss"}//it's unused
? {"id":7,"name":"1","master":"1","slave":"1"} //and this
? {"id":8,"name":"CAP-DW","master":"ccaa100[.]com","slave":"ccaa200[.]com"}
? {"id":9,"name":"SSP-DW","master":"cscs100[.]com","slave":"cscs200[.]com"}
? {"id":11,"name":"HM-JK","master":"hmapi[.]com","slave":"eoapi[.]com"}
? {"id":12,"name":"易盟-易窗","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
? {"id":13,"name":"易盟-易推","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
? {"id":14,"name":"易盟-啟彈","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
? {"id":15,"name":"iadpush","master":"ma2.lb0408[.]com","slave":"sl2.lb0408[.]com"}
? {"id":16,"name":"1mob-fudian","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
? {"id":17,"name":"QS","master":"aa0ad[.]com","slave":"aa0ab[.]com"}
? {"id":18,"name":"1mob-xin(點滴/BDSDK ","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
除此之外,SSP還有一些行為,比如具體的Google Play進程注入(SSP能夠向Google Play進程注入一個庫,惡意程序也就能夠偽裝Google Play商店中安裝、購買、接受點擊操作;這里用到的是比較知名的ptrace,SSP能夠用ptrace來調(diào)用控制其他應用,讀取、寫入內(nèi)存等操作);還有RightCore惡意組件,其實應該算是SSP的一個早期版本;CAP組件采用比較復雜的技術負責安裝欺詐應用,實現(xiàn)欺騙IMEI碼注入,執(zhí)行Google Play的點擊模擬操作等等。
對這些感興趣的同學可以點擊這里,查看Check Point提供的詳情。
在Check Point看來,微贏互動可能是首個曝光到大眾面前、如此高度組織化推惡意程序的團隊。或許這種趨勢未來還會持續(xù),引來其他團隊的學習,實現(xiàn)復雜攻擊的獨立化運營。甚至將這樣掌控僵尸網(wǎng)絡的權(quán)限,提供給某些組織或政府機關,情況就更加復雜了。
* FreeBuf官方報道,本文原創(chuàng)作者:歐陽洋蔥,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)
|