安全路透社
当前位置:安全路透社 > 网络转载 > 正文

谁给了你第一个手机病毒?安卓手机病毒来源分析

用户手机的第一个病毒从何而来?这篇文章也许能给你答案。

新应用安装概况

在用户下载安装应用之时,Clean Master会对下载的文件进行安全扫描,仅从Clean Master扫描数据来看,几乎每天都有上千万次的应用安装行为。

1.png

应用的安装来源分布如下图二所示。据统计,约有1/3的应用是在用户未设置installer的情况下安装的。这意味着这些应用的来源无法被监控,也就是下图二中的‘未知’来源。绝大部分手机病毒都隐藏在这部分‘未知’来源的应用中。

 2.png

主要安装源中病毒相关的行为:

1.  GooglePlay安装源:

    自动/网页广告/用户解锁/点击弹出的广告等来打开Google Play市场到指定的推广app页面,诱导下载

    打开googlePlay模拟点击,自动安装(不需root)

2. 未知安装源:

    通过色情网页,第三方链接等渠道下载的病毒

    病毒推广安装的app

    短信蠕虫

    手机出厂预装(如赠品推广、电视广告等形式的山寨手机)

‘未知’来源的病毒应用安装情况

‘未知’来源的应用中含有大量病毒应用。来自Clean Master的数据显示,目前有三种病毒每天被安装超过10000次。

病毒应用名称 每天被安装次数
org.message.up.update 16379
com.android.syscore 12090
com.power.core.setting 10229
org.ndf.sut 9032
com.kiy.freewifi 8664
com.zsysc.dwonload 8069
com.impupa.hum.zq 7464
com.witskies.yoyogo 6638
com.kaixuan 5823
com.google.webcps 4764
com.android.tools.receiver 4718
com.android.patchs 4647
com.codeauroim.systemupdate 4385
com.fun.locktouch 4119
com.op.uuj 4061
com.nts.gtf.zwt 3811
net.smart.game 3659
com.evince.exactly.exceeded 3412
heart.clear.luck 3310
com.bc.android.bctcore 3233
com.bt.wallpapers.hd 3199
com.google.android.syscps.mj 3058
com.fpnq.cleaner 2929
com.android.akeyassist.c 2857

表一 ‘未知’来源病毒应用安装数量

不计算病毒推广安装的正常app,只计算被安装的应用为病毒的数量,根据上面的数据与每天安装总量的对比,病毒所占的比例不低于每天安装总量的千分之一。

以上病毒大部分是被谁推广的?

我们分析了其中两个主要病毒推广源com.sms.sys.manager与com.al.alarm.controller,它们属于同一家族, 这些病毒应用进入用户手机之后,会疯狂推广安装其他对用户无用的应用。下表是Clean Master统计到的设置了installer的数据。

 4.png

图三中所示的两个病毒每日推广安装其他应用的数量较大。而受这两个病毒应用最严重的国家是印度,超过一半的感染量都在这里。其次是印度尼西亚和菲律宾,可见受灾最严重的国家主要集中在亚洲。

5.png

病毒恶意行为分析

6.png

遍历elf运行获取root权限

/system/bin/nis

/system/bin/daemonnis

/system/bin/.daemon/nis

/system/bin/.sr/nis

/system/bin/ndcfg

/system/bin/.daemon/ndcfg

/system/bin/.sr/ndcfg

广告推广及其它恶意app推广

7.png

这两个样本每天的推广安装量在3至4万之间,从1月份检测到此病毒至6月份为止一直成上升趋势,目前每天的推广量维持在3到4万之间。

分析完病毒推广维度,我们又统计了网页维度的app下载量,以从整体上对恶意app的安装有个总体的认知。

网址安全

  9.png

当用户访问某个链接时,CMS隐私浏览功能可以判断是否为恶意链接。下表是根据CM Security 查询的数据统计的通过恶意网址传播的TOP病毒。

病毒应用 下载量 行为
Wireless optimizer 16992 Root+恶意广告
WIFI Master pro 8206 Root+恶意广告
AndroidSystemTheme 7734 恶意广告
Adult Victoria 4595 Root+恶意广告
AndroidBackup 4546 恶意广告
MXplayer pro 4169 Root+恶意广告
ES File Manager pro 2921 Root+恶意广告
Love Beauty 2507 Root+恶意广告
LockTouch 2447 Root+恶意广告
Run Keeper 2424 Root+恶意广告
Music Player Pro 2281 Root+恶意广告
FireFox 2166 Root+恶意广告

表二 恶意应用下载top

GhostPush家族

以上所有病毒与恶意广告均属于同一家族,简要分析如下

MXplayer pro与Wireless optimizer代码结构

8.png

通过代码结构可以看到基本属于同一变种,其它的样本大多用了GhostPush相同的root模块,目前为止此病毒家族感染量一直稳居首位。

Wireless optimizer与MXplayer pro Root方式:

Ø  Wirelessoptimizer上传信息从云端获取root elf文件来进行root

root脚本及要替换的系统文件

http://45.79.151.241/admin201506/uploadApkFile/rt/20160902/env201609020950.data

root 用到的工具

http://45.79.151.241/admin201506/uploadApkFile/rt/20160823/ToolboxAndSupolicy19.

root 手机的elf

http://45.79.151.241/admin201506/uploadApkFile/rt/20160902/ym.data

Ø  Wirelessoptimizer下载root apk来进行root

root手机的apk

http://down.dioewcdn.com/backokr/rtt_0310_577.apk

root样本的多次升级,目前Android6.0以下的机器基本都可以完成root,关键代码以加密的方式放于assets目录或服务器中,用时动态加载,放于系统目录伪装成系统内置应用,su的调用加入多个不同的参数防止第三方获取root。 这些都加大了对root病毒的检测及清除难度,所以root病毒至今依然猖獗,感染量居高不下。

Wirelessoptimizer

行为以第一个Wireless optimizer为例,总体流程:

 11.png

主要行为简述:

Ø  显示欺诈/色情页面,诱导支付或下载新的恶意样本

 12.png

Ø  显示广告/网站推广

 13.png

Ø  点击跳转到色情页面或app推广

 14.png

Ø  状态栏广告推送

 15.png

病毒的行为同其它家族病毒行为基本相同,总体来说中毒用户依然是少数用户,但由于其具有root行为,并且病毒之间相互合作安装其它病毒,并通过色情,欺诈页面,引诱下载等方式引导用户下载恶意程序,所以其推广app的量甚至可以和一些第三方的应用市场持平,加上root病毒难以清除并经常自动从服务器更新广告/root sdk数据,会有一批稳定的“用户”量,通过广告,推广app等形式来获取收益。

以上病毒对应的恶意域名TOP

病毒对应恶意域名 下载次数
d11w6715sf0qtr.cloudfront.net 1465
d2xprsj0riymso.cloudfront.net 1046
d2elva29up0ecb.cloudfront.net 828
d2b5yq44mldizo.cloudfront.net 791
d149ec88gwqs65.cloudfront.net 645
d2xprsj0riymso.cloudfront.net 627
d1aqbdl78d2ij9.cloudfront.net 612
d2xprsj0riymso.cloudfront.net 603
cdn4.he88cc.com 579
d2hxoy27lswrwn.cloudfront.net 557
d3nrmonu5chdoe.cloudfront.net 557
dflnr8mbt9zn4.cloudfront.net 543
developed.down.paipaijiajiahoho.rocks 532
developed.down.speedeverything.racing 436
d223pr27hf09gh.cloudfront.net 408
d32vdaxi7kise9.cloudfront.net 385
d1p99gh6syi4w3.cloudfront.net 355
d2zftpxw5x4sda.cloudfront.net 330
apk.cs9adv.com 318
cdn4.he88cc.com 284
d12wwrgn171dpf.cloudfront.net 282
d3miaiw22d9toa.cloudfront.net 256
diyuudi4itl2y.cloudfront.net 242
d15kk6vif9vfl2.cloudfront.net 239
kokddl.b0.upaiyun.com 230
d2g6yvve5jkgj.cloudfront.net 220
d3befr7zfyxng9.cloudfront.net 214
dufk90vz3m463.cloudfront.net 212
developed.down.speedeverything.racing 211
d3v84euoiqd4ja.cloudfront.net 203
cdn4.he88cc.com 193
d16tqylaric8rz.cloudfront.net 191
d3vgnpmqp0287f.cloudfront.net 180
d1oys6pgzouz0v.cloudfront.net 177
d3hg5helwcy9a6.cloudfront.net 177
d3rnd9sreh1icy.cloudfront.net 175
dgpp3263vzsn4.cloudfront.net 171
d2qk9dhiyof2a7.cloudfront.net 170
dz4h53f1fc33s.cloudfront.net 170
d16lmr1g7q6e6x.cloudfront.net 168
kokddl.b0.upaiyun.com 168
d2ky4lft4asw5.cloudfront.net 161
down.slamdunk.space 161
apk.cs9adv.com 147
ds1tj08wt495i.cloudfront.net 142
developed.down.paipaijiajiahoho.rocks 135
d9bf1mn02xkeo.cloudfront.net 131

表三 恶意域名top

由于是同一家庭的病毒,基本上访问的root服务、广告服务都是对应于同一个域名。猎豹移动安全实验室对这些域名的来源做了分析,以发现是什么样的链接引导用户安装恶意的app。

跳转到这些域名下载的上一级来源为

病毒下载链接的referrer 访问数量
adf.ly 30271
slimspots.com 10021
cloudfront.net 6120
sh.st 4485
pdanew.com 3063
japemusic.com 2850
afftrack.com 2533
clickpartoffon.xyz 2134
adyou.me 1429
ouo.press 1285
adreactor.com 1247
bc.vc 1209
popads.net 962
waframedia8.com 907
zatnawqy.net 864
adultmaster25.com 712
……  

表四 上级链接来源top

可见病毒的主要来源,来自短链接以及一些广告链接。

经过我们排查短链接与广告链接的上一级来源后,结果大致如下。

 20.jpg

总结

l  病毒在每天的安装量中占到至少千分之一,实际病毒的推广量远大于这个数值

l  病毒安装量主要来源于root病毒及网页安装

l  色情网站、短链接、广告链接为主要的病毒来源

病毒一般以色情、欺诈页面、诱导等方式通过第三方网页传播下载,目前Android6.0以下的机器都有被病毒root的风险,在平时请不要点击不认识的第三方链接,仅从正规市场上下载应用。一旦手机中了root病毒可以搜索相关的专杀软件或者通过手机售后刷机来达到清除root病毒的目的,除此外尽快升级为Android6.0或以上版本也是一个好的方法。

*猎豹移动安全实验室 

未经允许不得转载:安全路透社 » 谁给了你第一个手机病毒?安卓手机病毒来源分析

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册