Loading
0

谁给了你第一个手机病毒?安卓手机病毒来源分析

用户手机的第一个病毒从何而来?这篇文章也许能给你答案。
新应用安装概况
在用户下载安装应用之时,Clean Master会对下载的文件进行安全扫描,仅从Clean Master扫描数据来看,几乎每天都有上千万次的应用安装行为。

应用的安装来源分布如下图二所示。据统计,约有1/3的应用是在用户未设置installer的情况下安装的。这意味着这些应用的来源无法被监控,也就是下图二中的‘未知’来源。绝大部分手机病毒都隐藏在这部分‘未知’来源的应用中。


主要安装源中病毒相关的行为:
1.  GooglePlay安装源:
自动/网页广告/用户解锁/点击弹出的广告等来打开Google Play市场到指定的推广app页面,诱导下载
打开googlePlay模拟点击,自动安装(不需root)
2. 未知安装源:
通过色情网页,第三方链接等渠道下载的病毒
病毒推广安装的app
短信蠕虫
手机出厂预装(如赠品推广、电视广告等形式的山寨手机)
‘未知’来源的病毒应用安装情况
‘未知’来源的应用中含有大量病毒应用。来自Clean Master的数据显示,目前有三种病毒每天被安装超过10000次。
病毒应用名称
每天被安装次数
org.message.up.update
16379
com.android.syscore
12090
com.power.core.setting
10229
org.ndf.sut
9032
com.kiy.freewifi
8664
com.zsysc.dwonload
8069
com.impupa.hum.zq
7464
com.witskies.yoyogo
6638
com.kaixuan
5823
com.google.webcps
4764
com.android.tools.receiver
4718
com.android.patchs
4647
com.codeauroim.systemupdate
4385
com.fun.locktouch
4119
com.op.uuj
4061
com.nts.gtf.zwt
3811
net.smart.game
3659
com.evince.exactly.exceeded
3412
heart.clear.luck
3310
com.bc.android.bctcore
3233
com.bt.wallpapers.hd
3199
com.google.android.syscps.mj
3058
com.fpnq.cleaner
2929
com.android.akeyassist.c
2857
表一 ‘未知’来源病毒应用安装数量
不计算病毒推广安装的正常app,只计算被安装的应用为病毒的数量,根据上面的数据与每天安装总量的对比,病毒所占的比例不低于每天安装总量的千分之一。
以上病毒大部分是被谁推广的?
我们分析了其中两个主要病毒推广源com.sms.sys.manager与com.al.alarm.controller,它们属于同一家族, 这些病毒应用进入用户手机之后,会疯狂推广安装其他对用户无用的应用。下表是Clean Master统计到的设置了installer的数据。


图三中所示的两个病毒每日推广安装其他应用的数量较大。而受这两个病毒应用最严重的国家是印度,超过一半的感染量都在这里。其次是印度尼西亚和菲律宾,可见受灾最严重的国家主要集中在亚洲。

病毒恶意行为分析

遍历elf运行获取root权限
/system/bin/nis
/system/bin/daemonnis
/system/bin/.daemon/nis
/system/bin/.sr/nis
/system/bin/ndcfg
/system/bin/.daemon/ndcfg
/system/bin/.sr/ndcfg
广告推广及其它恶意app推广

这两个样本每天的推广安装量在3至4万之间,从1月份检测到此病毒至6月份为止一直成上升趋势,目前每天的推广量维持在3到4万之间。
分析完病毒推广维度,我们又统计了网页维度的app下载量,以从整体上对恶意app的安装有个总体的认知。
网址安全


当用户访问某个链接时,CMS隐私浏览功能可以判断是否为恶意链接。下表是根据CM Security 查询的数据统计的通过恶意网址传播的TOP病毒。
病毒应用
下载量
行为
Wireless optimizer
16992
Root+恶意广告
WIFI Master pro
8206
Root+恶意广告
AndroidSystemTheme
7734
恶意广告
Adult Victoria
4595
Root+恶意广告
AndroidBackup
4546
恶意广告
MXplayer pro
4169
Root+恶意广告
ES File Manager pro
2921
Root+恶意广告

Love Beauty
2507
Root+恶意广告
LockTouch
2447
Root+恶意广告
Run Keeper
2424
Root+恶意广告
Music Player Pro
2281
Root+恶意广告
FireFox
2166
Root+恶意广告
表二 恶意应用下载top
GhostPush家族
以上所有病毒与恶意广告均属于同一家族,简要分析如下
MXplayer pro与Wireless optimizer代码结构

通过代码结构可以看到基本属于同一变种,其它的样本大多用了GhostPush相同的root模块,目前为止此病毒家族感染量一直稳居首位。
Wireless optimizer与MXplayer pro Root方式:
Ø  Wirelessoptimizer上传信息从云端获取root elf文件来进行root
root脚本及要替换的系统文件
http://45.79.151.241/admin201506/uploadApkFile/rt/20160902/env201609020950.data
root 用到的工具
http://45.79.151.241/admin201506/uploadApkFile/rt/20160823/ToolboxAndSupolicy19.
root 手机的elf
http://45.79.151.241/admin201506/uploadApkFile/rt/20160902/ym.data
Ø  Wirelessoptimizer下载root apk来进行root
root手机的apk
http://down.dioewcdn.com/backokr/rtt_0310_577.apk
root样本的多次升级,目前Android6.0以下的机器基本都可以完成root,关键代码以加密的方式放于assets目录或服务器中,用时动态加载,放于系统目录伪装成系统内置应用,su的调用加入多个不同的参数防止第三方获取root。 这些都加大了对root病毒的检测及清除难度,所以root病毒至今依然猖獗,感染量居高不下。
Wirelessoptimizer
行为以第一个Wireless optimizer为例,总体流程:


主要行为简述:
Ø  显示欺诈/色情页面,诱导支付或下载新的恶意样本


Ø  显示广告/网站推广


Ø  点击跳转到色情页面或app推广


Ø  状态栏广告推送


病毒的行为同其它家族病毒行为基本相同,总体来说中毒用户依然是少数用户,但由于其具有root行为,并且病毒之间相互合作安装其它病毒,并通过色情,欺诈页面,引诱下载等方式引导用户下载恶意程序,所以其推广app的量甚至可以和一些第三方的应用市场持平,加上root病毒难以清除并经常自动从服务器更新广告/root sdk数据,会有一批稳定的“用户”量,通过广告,推广app等形式来获取收益。
以上病毒对应的恶意域名TOP
病毒对应恶意域名
下载次数
d11w6715sf0qtr.cloudfront.net
1465
d2xprsj0riymso.cloudfront.net
1046
d2elva29up0ecb.cloudfront.net
828
d2b5yq44mldizo.cloudfront.net
791
d149ec88gwqs65.cloudfront.net
645
d2xprsj0riymso.cloudfront.net
627
d1aqbdl78d2ij9.cloudfront.net
612
d2xprsj0riymso.cloudfront.net
603
cdn4.he88cc.com
579
d2hxoy27lswrwn.cloudfront.net
557
d3nrmonu5chdoe.cloudfront.net
557
dflnr8mbt9zn4.cloudfront.net
543
developed.down.paipaijiajiahoho.rocks
532
developed.down.speedeverything.racing
436
d223pr27hf09gh.cloudfront.net
408
d32vdaxi7kise9.cloudfront.net
385
d1p99gh6syi4w3.cloudfront.net
355
d2zftpxw5x4sda.cloudfront.net
330
apk.cs9adv.com
318
cdn4.he88cc.com
284
d12wwrgn171dpf.cloudfront.net
282
d3miaiw22d9toa.cloudfront.net
256
diyuudi4itl2y.cloudfront.net
242
d15kk6vif9vfl2.cloudfront.net
239
kokddl.b0.upaiyun.com
230
d2g6yvve5jkgj.cloudfront.net
220
d3befr7zfyxng9.cloudfront.net
214
dufk90vz3m463.cloudfront.net
212
developed.down.speedeverything.racing
211
d3v84euoiqd4ja.cloudfront.net
203
cdn4.he88cc.com
193
d16tqylaric8rz.cloudfront.net
191
d3vgnpmqp0287f.cloudfront.net
180
d1oys6pgzouz0v.cloudfront.net
177
d3hg5helwcy9a6.cloudfront.net
177
d3rnd9sreh1icy.cloudfront.net
175
dgpp3263vzsn4.cloudfront.net
171
d2qk9dhiyof2a7.cloudfront.net
170
dz4h53f1fc33s.cloudfront.net
170
d16lmr1g7q6e6x.cloudfront.net
168
kokddl.b0.upaiyun.com
168
d2ky4lft4asw5.cloudfront.net
161

down.slamdunk.space
161
apk.cs9adv.com
147
ds1tj08wt495i.cloudfront.net
142
developed.down.paipaijiajiahoho.rocks
135
d9bf1mn02xkeo.cloudfront.net
131
表三 恶意域名top
由于是同一家庭的病毒,基本上访问的root服务、广告服务都是对应于同一个域名。猎豹移动安全实验室对这些域名的来源做了分析,以发现是什么样的链接引导用户安装恶意的app。
跳转到这些域名下载的上一级来源为
病毒下载链接的referrer
访问数量
adf.ly
30271
slimspots.com
10021
cloudfront.net
6120
sh.st
4485
pdanew.com
3063
japemusic.com
2850
afftrack.com
2533
clickpartoffon.xyz
2134
adyou.me
1429
ouo.press
1285
adreactor.com
1247
bc.vc
1209
popads.net
962
waframedia8.com
907
zatnawqy.net
864
adultmaster25.com
712
……

表四 上级链接来源top
可见病毒的主要来源,来自短链接以及一些广告链接。
经过我们排查短链接与广告链接的上一级来源后,结果大致如下。


总结
l  病毒在每天的安装量中占到至少千分之一,实际病毒的推广量远大于这个数值
l  病毒安装量主要来源于root病毒及网页安装
l  色情网站、短链接、广告链接为主要的病毒来源
病毒一般以色情、欺诈页面、诱导等方式通过第三方网页传播下载,目前Android6.0以下的机器都有被病毒root的风险,在平时请不要点击不认识的第三方链接,仅从正规市场上下载应用。一旦手机中了root病毒可以搜索相关的专杀软件或者通过手机售后刷机来达到清除root病毒的目的,除此外尽快升级为Android6.0或以上版本也是一个好的方法。

【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。