擁有300萬安裝量的應用是如何惡意推廣刷榜的?

做者:逆巴、如凌@阿里聚安全php

背景:

隨着移動端應用市場數量爆炸式增加,App推廣和曝光率也愈來愈難。哪裏有需求哪裏就有生財之道,天然,App刷榜也就造成了一條產業鏈,它可以在短時間內大幅提升下載量和用戶量,進而提升應用的曝光率。linux

近期,阿里移動安全發現一款名叫「魔百Wi-Fi」應用,該應用官方的一個版本捆綁了多個病毒,目的是對GooglePlay商店應用刷榜和刷大量未知應用安裝量。該病毒在該設備鎖屏時對設備root,root成功後向系統目錄植入「刷榜殭屍」病毒,「刷榜殭屍」對指定應用在GooglePlay商店上惡意刷量,同時還會誘騙用戶安裝「下載者」病毒,「下載者」病毒會在設備屏幕亮起狀態會彈出廣告頁面,若用戶觸碰廣告頁面推廣的應用將會自動安裝運行。該病毒技術至關成熟,root提權使用最高廣的漏洞(CVE-2014-3153 TOAWELROOT、CVE-2015-3636 PINGPONG和PUTUSER等),2015年10月以前的設備所有受影響。咱們對惡意應用的證書對比,驚人的發現並不是被重打包!android

「魔百Wi-Fi」在2015年底首次發佈,向用戶打着安全Wi-Fi旗號,短短半年用戶安裝量已高達300萬。咱們發現它具有專業的應用推廣團隊,目前已在國內知名渠道發佈多篇宣傳文章,並與國內多家應用商店合做,下圖是」魔百Wifi」前不久的一篇文章,文中還提到「截至目前,魔百WiFi擁有超過2億的國內外熱點,已覆蓋商場、酒店,熱點全線接入」。
圖片描述git

「魔百Wifi」目前最新版本爲2.3.18。根據應用證書md5(5919ee638614c467152ab4d07c9cc2dc)排查,發現版本2.3.5~2.3.10被官方插入了惡意代碼。值得注意的是,官方發佈的2.3.8版本打了兩個不一樣的包,一個增長root提權向系統目錄植入「刷榜殭屍」,另一個包和2.3.10版本應用都捆綁了「下載者」病毒。捆綁了「刷榜殭屍」和「下載者」的「魔百Wifi」,利用自身的用戶量對應用刷榜和安裝,進而非法牟利。如下是對「魔百Wi-Fi」2.3.8帶root包的應用分析。github

1、主包分析:

該病毒捆綁了多個子包,如下是各個模塊關係圖:
圖片描述sql

  1. 解密assets目錄下sdk.data、__image數據,解密後sdk.data是一個目錄,目錄下包括MainJson.txt、dexhostinjection.jar、libDaemonProcess.so, __image是apk文件;json

  2. 喚起PushDexService、PushJobService完成dexhostinjection.jar加載,以及執行dexhostinjection.jar的com.hostinjectiondex.external.ExternalInterfaces類的startExternalBody方法,子包下載「下載者」病毒update,並誘導用戶安裝。api

  3. 開啓後臺服務利用libgodlikelib.so進行root提權,提權成功將libgodlikelib.so提權工具庫寫入系統庫文件;__image解密的apk文件植入系統目錄,取名AndroidDaemonFrame.apk便是「刷榜殭屍」病毒;安全

2、root提權

該樣本是基於開源的RUN_ROOT_SHELL改寫而成,能夠對2015年10月份以前的所有設備root,主要利用瞭如下漏洞進行提權:服務器

(1) CVE-2012-4220
影響設備:Android2.3~4.2
使用的QualcommInnovation Center(QuIC)Diagnostics內核模式驅動程序diagchar_core.c在實現上存在整數溢出漏洞,經過向diagchar_ioctl內傳遞特製的輸入,遠程攻擊者可利用此漏洞執行任意代碼或形成拒絕服務。

(2) /dev/graphics/fb0
fb0設備mmap漏洞(觸發參數FBIOGET_FSCREENINFO)

(3) /dev/hdcp
hdcp設備mmap漏洞

(4) CVE-2013-6282
影響版本:linux kernel3.2.一、Linux kernel3.2.二、Linux kernel3.2.13
Linux kernel對ARM上的get_user/put_user缺乏訪問權限檢查,本地攻擊者可利用此漏洞讀寫內核內存,獲取權限提高。

(5) /dev/msm_acdb
高通設備漏洞

(6) CVE-2013-2595
/dev/msm_camera/config0高通設備MMAP漏洞。

(7) CVE-2013-2094
影響版本:linux kernel3.8.9以前開啓了PERF_EVENT的設備
利用該漏洞,經過perf_event_open系統調用,本地用戶能夠得到系統的最高權限。

(8) CVE-2015-3636
影響設備:2015年9月份以前的設備
pingpong該漏洞是Linux kernel的ping套接字上存在的一個Use-After-Free漏洞。

(9) CVE-2014-3153
影響設備:2014年6月之前的設備
漏洞利用了futex_requeue、futex_lock_pi、futex_wait_requeue_pi三個函數存在的RELOCK漏洞和REQUEUE漏洞,形成了對內核棧上的數據修改。

對設備成功提權後,會將解密的__image植入/system/priv-app目錄並命名爲AndroidDaemonFrame.apk,將libgodlikelib.so提權工具庫植入/system/lib目錄。下圖提權並向系統目錄植入惡意文件。
圖片描述

3、AndroidDaemonFrame.apk「刷榜殭屍」分析

AndroidDaemonFrame應用是主包解密後植入到系統目錄的應用,該應用是一款轉用於惡意刷榜的病毒,利用用戶設備帳戶信息做爲刷榜殭屍,完成對C&C控制端指定應用的惡意刷榜。「刷榜殭屍」工做流程以下:
圖片描述

1.「刷榜殭屍」C&C控制端配置keywords和package_name。
2.「刷榜殭屍」向googleplay發起認證,經過獲取的設備googleplay帳號和密碼,或authtoken。
3.模擬googleplay協議對目標應用搜索、瀏覽和下載。

刷榜殭屍病毒在設備啓動、屏幕解鎖和網絡改變觸發BootReceiver組件執行,隨後啓動核心服務DispatcherService,該服務建立updateTask和googlePlayTask定時任務。
圖片描述

定時任務googlePlayTask

googlePlayTask每3小時執行一次,對配置文件裏的keywords和package_name指定的應用從GooglePlay爬取。下圖root提權重定向設備帳戶文件。
圖片描述

病毒經過GooglePlay驗證有兩種方式,一使用authtoken,全稱authentication token,有了它病毒無須每次操做都向google服務器發送密碼, 執行語句:sql.rawQuery("select type,authtoken from authtokens where type like 'com.android.vending%' and accounts_id="+ accounts_id, null);二是獲取google帳戶name、password和_id值。執行語句:sql.rawQuery("select * from accounts where type = ?", new String []{"com.google"})。以下圖。
圖片描述

成功與google play服務器鏈接後,經過配置文件提供的keywords和package_name完成應用搜索、瀏覽和下載
圖片描述

當前配置文件以下圖,發現病毒正在對package_name是com.felink.shine的應用刷量。
圖片描述

病毒徹底模擬google play下載協議,包括設置cookie(AndroidId + authToken)、User-agent(AndroidDownloadManager)等,GooglePlay應用下載請求流程大體以下圖(https://github.com/egirault/googleplay-api/issues/30):
圖片描述

「刷榜殭屍」病毒的GooglePlayRequester工具類模擬了以上過程,實現google play商店應用下載。

4、子包dexhostinjection.jar

子包dexhostinjection.jar由assets目錄下sdk_data文件解密獲得,完成了如下幾個功能:

4.1 服務保活

解析主包傳遞的000(m_pkgname)、001(m_class_name)、002(m_sdk_data)、003(libDaemonProcess)、004(1.apk)參數,利用libDaemonProcess庫服務保活,在底層執行am startservice啓動主包傳遞的service,也就是主包中的com.hostinjectionmain.control.DexService。以下圖。
圖片描述

4.2 下載「下載者」病毒

主包004參數傳遞的應用名,並拷貝到設備sdcard/database目錄命名爲5supdate.apk,同時配置「下載者」病毒相關文件,存放目錄在sdcard/database目錄下。包括actiondown記錄包名以及啓動服務名、actionsuk應用最近一次運行時間、install.ab服務器推廣應用安裝狀況、mychannel應用渠道,這些文件數據所有都AES加密存放。Actiondown記錄下載者病毒包名以及入口服務。
actiondown:{"downLoadPackageName":"com.android.ucgmap","downLoadVersionKey":1,"downLoadStartMethod":"com.android.ucgmap/com.android.ucgmap.AimService」}

4.3 誘騙用戶安裝,並啓動「下載者」病毒

子包動態註冊監聽android.intent.action.PACKAGE_ADDED、android.intent.action.USER_PRESENT消息廣播。處理包安裝完畢消息,若這次安裝包名是actiondown裏downLoadPackageName字段記錄的「下載者」病毒,讀取downLoadStartMethod字段啓動「下載者」。
圖片描述

使用兩種策略誘騙用戶安裝「下載者」病毒(其應用名爲update),一默認模式以應用更新誘騙用戶點擊安裝;二由服務器設置,彈出系統更新誘騙用戶點擊安裝。
圖片描述

4.4 子包自更新

子包的鏈接並非直接暴露的,而是作了兩層跳板。配置下一跳轉訪問地址http://dispatch.smartchoiceads.com/v2.1/2000,參數設備aid、imsi、gaid、mac(wifi),request和response數據所有AES加密。服務端會根據上傳的設備信息返回次設備對應的url地址,隨後設備會使用該地址下載服務端推廣的應用。下圖訪問url_1(http://dispatch.smartchoiceads.com/v2.1/2000)返回加密的數據,經AES解密提取data值獲取當前設備的對應訪問的服務器地址url_2。
圖片描述

解密後的數據爲:{"upstream":"http://sdk.smartchoiceads.com"},這樣獲取了下一跳板的地址。 訪問跳板地址,下載、加載和運行最新版子包。 訪問服務器配置的url_2,服務器一樣返回AES加密數據,解密後的數據以下:
{"solib_name":"libDaemonProcess.so","download_url":"http://u.smartchoiceads.com/sdk/HostDex_20160623163035.jar","classname":
"com.hostinjectiondex.external.ExternalInterfaces","filename":"dexhostinjection.jar","start_method":
"startExternalBody","solib_url":"http://u.smartchoiceads.com/sdk/libDaemonProcess_20160520175142.so","stop_method":
"stopExternalBody","request_interval":"1800","version":"8"}。

根據解密獲取的字段,下載新版本的dexhostinjection.jar包,以及lib庫,目前服務器最新版本dexhostinjection_8.jar。子包經過向主包的DexService發送com.injection.action.RELOAD_DEX消息意圖,完成子包更新加載。
圖片描述

5、「下載者」分析

子包dexhostinject.jar下載的5supdate.apk存放位置在sdcard/database目錄下,既是「下載者」病毒安裝包,經過應用更新或系統更新誘騙用戶安裝,安裝後dexhostinject.jar啓動「下載者」導出服務AimService。「下載者」病毒工做流程圖以下:
圖片描述

5.1 ChatActivity組件,強制激活設備管理

dexhostinject.jar啓動應用的參數會喚起ChatActivity組件運行。ChatActivity進行設備管理激活,一旦用戶激活設備管理,應用將很難被卸載。用戶在取消截獲設備管理時,AdminReciver會進行鎖屏操做並跳轉到桌面。
圖片描述

5.2 組件AimService

1.加載target.jar子包,保護「下載者」核心服務AimService不死
2.啓動ApsService,組件ApsService是雲端推送服務,註冊時鐘廣播每10分鐘發送廣播轉交給ApsAdReceiver處理
圖片描述

3.onStartCommand處理消息意圖,包括:

  • a.com.injection.action.RELOAD_DEX,更新target.jar子包;

  • b.com.injection.action.stopJobService,中止JobScheduler並進程自殺;

  • c.-a com.android.startadmin --es isadmin true,喚起ChatActivity組件,進行激活設備管理。該意圖消息是dexhostinject.jar發送給AimService的。

5.3「下載者」應用推送分析

應用下載、安裝和啓動由ApsService和ApsAdReceiver聯合完成。當update應用處於後臺運行,而且屏幕處於亮起狀態,「下載者」向C&C服務器發起請求,下圖訪問C&C控制。
圖片描述

「下載者」病毒會每隔10分鐘訪問http://www.gamecpi.com/tapcash/com.android.ucgmap/control.json,返回數據結構以下。

{
  "isOpened":true,
  "isOpenHideNativeAd":true,
  "fid":"",
  "fnid":"558734714274962_641985812616518",
  "aid":"ca-app-pub-2499265864844132/2514086206",
  "bnid":660078,
  "solaid":5011,
  "soltid":1000171,
  "ad_interval":10,
  "no_ad_start":0,
  "no_ad_end":6
}

該數據結構信息是當前推廣應用的信息,隨後經過消息handler轉交給startAdWork函數處理。
圖片描述

每隔120分鐘請求控制端下載推廣應用,http://www.gamescpa.com/SDKManager/cpa/downloadlink.php?country=cn&packageName=com.android.ucgmap,C&C控制端返回推送的應用信息,包括packgae(應用包名)、url(應用下載連接)、size(應用大小),返回數據轉交給消息handler處理,進行應用下載安裝。
圖片描述

再配合以前註冊的時鐘廣播ApsAdReceiver,完美完成推廣應用啓動。
圖片描述

6、病毒sha1:

  • 01b3e575791642278b7decf70f5783ecd638564d

  • 5900fabbe36e71933b3c739ec62ba89ac15f5453

  • 7ebdd80761813da708bad3325b098dac9fa6e4f5

  • ea781498268ced8dbb892d02aeaad23f4b87a510

  • 44e81be6f7242be77582671d6a11de7e33d19aca

  • 34b7b38ce1ccdd899ae14b15dd83241584cee32b

  • 74a55e9ea67d5baf90c1ad231e02f6183195e564

  • 4e5af777fe28f450a670e789b23fb3669dc6e6b6

  • d59f97297de38db7f85349c9486413e914ff35b5

  • b219db613284a3dd0e87edea67da744be59e7732

  • 9b9109ecfa38d9664084a513392ffc3f41349f02

  • 2b1da376212e63cb25a19900642c4bbca6e49c01

  • 18d9546193a354aec0c76d141dd66fbf99181bad

  • 63c20ee3c1e1b39921d2b3d86aade39de738ea9b

  • 5d2a08d7c1f665ea3affa7f9607601ffae387e8b

  • 70105591ea9f2b42534062278f31dbf9788575b3

  • 34b7b38ce1ccdd899ae14b15dd83241584cee32b

  • 78e9c7e0510b0c28abf28dd46910ab14c56ab4df

  • 88745ecb3114fc0539ca05db388e1c77d3e76109

  • 885fe0dca39d0fe281aad78cbce2fb73f27f3aea

  • 50bdc0195ed3c6f9909e62d4926f26d312cc39fa

7、總結

該病毒應用經過版本更新,進行惡意版本下發,在完成「刷榜殭屍」和「下載者」病毒後又利用版本更新替換成線上安全版本,如此在各大應用市場上期存活。阿里移動安全同窗建議,用戶下載此類App請認準大廠商品牌應用;謹慎點擊軟件內的推送廣告;來源不明的應用不要隨意點擊;請按期使用阿里錢盾等手機安全軟件查殺病毒。

做者:逆巴、如凌@阿里聚安全,更多技術文章,請訪問阿里聚安全博客

相關文章
相關標籤/搜索