DowginCw病毒家族解析

做者：錢盾反詐實驗室

0x1.背景

近期，錢盾反詐實驗室經過錢盾惡意代碼智能監測引擎感知並捕獲一批惡意應用。因爲該批病毒會聯網加載「CWAPI」插件，故將其命名爲「DowginCw」病毒家族。「DowginCw」經過插件形式集成到大量兒童遊戲應用中，而後經過發佈於各大應用商店或強制軟件更新等手段，將惡意代碼植入用戶手機設備中，用戶一旦運行，設備將不停下載、安裝其餘惡意應用，直接形成用戶手機卡頓，話費資損，我的隱私泄漏等風險等。

「DowginCw」能上架知名應用商店和長期駐留用戶設備，是由於它使用了一套成熟的免殺技術，利用這套技術，免殺病毒可在殺軟面前肆無忌憚地實施惡意行爲而不被發現，其免殺技術手段包括：代碼加固保護、插件化，以及代碼延遲加載。

0x2.影響範圍

相關數據代表，早在去年10月「DowginCw」病毒家族應用就上架應用商店。其中幾款應用下載量甚至高達3千萬，疑似存在刷榜，刷量和刷評分，來誘騙用戶下載。

目前，錢盾反詐實驗室已攔截查殺「DowginCw」病毒家族2603款應用。下圖近兩月病毒感染設備次數已達93w，平均每日感染用戶過萬，共計感染87w用戶設備。

下表感染用戶top10的應用。

0x3惡意樣本分析

對「DowginCw」病毒家族其中同樣本分析。

應用名：王子結婚換裝小遊戲

包名：com.brainsterapps.google.katyinternational

2.1主包解析：

首先將主包脫殼，拿到加固前代碼。下圖主包功能模塊。

l 啓動惡意代碼；

l 從雲端獲取惡意推廣插件信息；

l 加載執行惡意推廣行爲；

l 監聽應用安裝、網絡改變，進而調用子包，執行惡意行爲；

1.惡意代碼是在入口activity的attachBaseContext被加載的，也就是應用一啓動就會加載惡意代碼塊。爲了躲避動態沙盒監測，惡意行爲會延遲30s執行。

2.訪問http://mail[.]zbmcc.cn/s獲取插件Json數據。數據以下，a:插件包下載地址；b:版本號；c:設備sd卡存放位置；d:惡意彈窗控制指令數據，函數call的參數。

{

"a": "http://d2[.]chunfeifs[.]com/jfile/ter.jar",

   "b": "5.0",

   "c": "download/br/",

   "d": "1=2,1;3=2;4=2,1;7=3,2,1,30;8=1,1;"

}

3.插件下載地址來自xiongjiong[.]com或chunfeifs[.]com。成功下載後，隨後動態加載ter5.0.jar，並反射執行「init」方法完成惡意推廣行爲初始化，下圖「CWAPI」的靜態代碼塊，可知DowginCw的彈窗方式。

最後主包經過反射執行子包「call」函數啓動惡意推廣。

4.應用安裝成功、網絡改變廣播監聽，經過反射調用子包LCReceiver類onReceive函數實現。

2.2子包惡意推廣

下圖子包工做圖：

設置惡意推送模式和定時彈應用安裝提示窗的指令數據，來自mail[.]zbmcc[.]cn返回的json數據中的b字段值，例如數據指令「1=2,1;3=2;4=2,1;7=3,2,1,30;8=1,1;」會開啓如下3種推送模式和設定彈應用安裝提示窗口定時器：

內插輪番，在指定的間隔時間在主包應用窗口彈推送窗；

解鎖，設備解鎖彈推送窗；

外插輪番，在指定的間隔時間在任意應用窗口彈推送窗；

「DowginCw」每發起一次惡意推送，都會從go[.]1mituan[.]com獲取加密的待推送應用數據。

經解壓解密可獲取數據以下，包括應用編號、彈窗圖片地址、推送應用下載地址：

爲了可以在設備解鎖，任意應用界面彈窗，病毒須要獲取當前運行Activity實例。「DowginCw」經過反射獲取ActivityThread中全部的ActivityRecord，從ActivityRecord中獲取狀態不是pause的Activity。

成功彈出惡意推廣窗，用戶觸屏圖片區域，甚至點擊「取消」也會下載準備的應用。

安裝提示窗也是定時執行，若監測到下載應用沒被安裝，則會彈窗誘導用戶安裝應用。當應用成功安裝，LCReceiver會接受處理「android.intent.action.PACKAGE_ADDED」廣播，實現應用自啓動。如此環環相扣，完成一個又一個惡意應用植入用戶設備。

咱們發現惡意推送的應用所有來自域名：xiongjiong[.]com和youleyy[.]com，下載的應用以假裝成遊戲和色情類app爲主，大部分屬於SmsPay家族（啓動發送扣費短信），部分Rootnik家族（root設備向系統目錄注入惡意應用）,下表部分推送應用:

0x4黑色產業鏈分析

以下圖所示，由制馬人、廣告平臺、多渠道分發、轉帳洗錢構成了「DowginCw」黑色產業鏈的關鍵環節。

其中制馬人團隊負責開發維護，以及免殺處理，目前病毒已迭代到5.0版本，特色包括：能以插件形式集成到任意app；代碼延遲加載，由雲端下發惡意插件；字符串加密，代碼強混淆等技術，可見「DowginCw」開發團隊專業度之高。「廣告平臺」角色是「DowginCw」病毒的主要賺錢方式，經過在黑市宣傳推廣能力，以成功下載應用或成功安裝病毒木馬收費。「多渠道分發」團隊在整個鏈條中處於相對核心的地位，經過與某些應用合做，成功集成「DowginCw」插件，導致能上架知名應用商店。從實際運做來看，整個圈子除了上述幾個重要角色外，一些環節還會有其餘黑產人員參與其中，好比上架應用商店後，想要讓app曝光誘騙用戶下載，會請專業人員進行刷榜，刷量，涮好評。

Ox5團伙溯源

咱們經過錢盾惡意代碼智能監測引擎，從「DowginCw」病毒家族中提取出以下C&C地址：zbmcc.cn、smfoja.cn、typipe.cn、unfoot.com、yuchanglou.com.cn、inehzk.cn、chunfeifs.com、xiongjiong.com.cn、1mituan.cn、elianke.cn、youleyy.com、cd.zciec.com。從域名的註冊郵箱分析，可挖掘出該產業鏈部分人員，以下圖所示。

分析發現：

一、黑產團伙使用ailantian198@126.com、lantian198@foxmail.com、30854789*@qq.com做爲「DowginCw」域名地址的公共郵箱，並使用這些郵箱註冊大量其餘惡意域名。

二、其團伙成員包括：黃某、餘某、程某、石某、齊某等9名成員，其中黃某負責平臺推廣；餘某負責已註冊的老域名購買；石某和齊某疑是病毒插件開發人員；其他人員屬於下游工做者。

三、根據該團伙黃某，石某在公網泄漏的QQ帳號308547893@qq.com，21543345@qq.com，發現團伙的「根據地」應該在福建。

0x6清理方案

目前，錢盾全面支持「DowginCw」病毒家族清理；建議用戶開啓全盤掃描模式，清理下載的惡意應用安裝包。

本文由阿里聚安全發佈，轉載請註明出處。
原文地址：https://jaq.alibaba.com/commu...