歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

流量e魔病毒分析報告

來源:本站整理 作者:佚名 時間:2019-10-09 TAG: 我要投稿

近期,騰訊安全實驗室捕獲一款在用戶設備上有異常流量訪問應用,此木馬在用戶設備上存在私自獲取設備信息,用戶行為隱私數據,后臺頻繁訪問網絡請求,云控方式下發刷量插件行為,經過安全人員分析,這批軟件屬于新發病毒,通過創建低像素窗體讓用戶難以察覺,所有屏幕觸摸,滑動事件會同時響應到隱藏窗體,模擬真實用戶網頁瀏覽行為,同時分析用戶行為數據欺騙廣告主流量統計反作弊算法,實現變相流量欺詐目的,通過視頻廣告刷量,CPD下載量,周期性拉新服務,賺取廣告推廣費用等,實現灰色牟利。

逃逸技術:

1.靜態檢測技術:包名,類名,方法名混淆成特殊符號,字符串隱藏未加密數組,每個類自動化生成不同的加密算法。

2.動態沙箱檢測:多種設備狀態監控,包括模擬器,流量分析工具,設備是否Root,網絡代理分析軟件檢測,全面識別

非真實用戶運行環境。

3.云服務逃逸:將惡意功能剝離成補丁文件并存儲在云服務器,通過云端下發熱補丁修復方案,云端配置是否下發,在用戶端執行惡意功能代碼,可以繞過應用安裝包檢測和增加蜜罐分析的難度。

變現方式:

1.惡意推廣應用:從云端獲取應用推廣任務,對不同用戶推廣應用。

2.電商平臺引流:從云端獲引流任務,操控中毒設備推廣指定商家產品到用戶。

3.視頻點擊量:后臺短時間頻繁發送大量網絡請求,針對熱門視頻網站進行刷曝光量。

4.廣告作弊刷量:多廣告平臺疊加,多種類型廣告支持刷量,模擬真實用戶點擊視視增加曝光量,下載,安裝,更新等數據上報。

安全威脅:

關鍵詞:主要危害涉及隱私竊取,流量欺詐和云控作惡

一、惡意軟件運行流程圖

二、樣本與感染用戶數

2.1惡意應用主要通過下發惡意sdk刷量任務,動態加載的惡意功能模塊,補丁等方式加載實現惡意功能,通過動態加載模塊關聯后臺惡意樣本top15如下圖:

2.2 6月至9月的感染用戶變化趨勢,平均日影響上萬用戶。

三、對抗方式分析

3.1靜態檢測技術逃逸

自寫算法或常見對稱算法對字符串進行加密,并在運行時還原為原本的字符串,對抗安全檢測

通過隨機生成包名,類名等,基本屬于同款惡意插件,避免安全軟件查殺,同樣的代碼在幾份sdk中使用了不同且無規律的包名,代碼相似度極高,便開始周期執行惡意功能并啟動拉新服務。

3.2動態沙箱檢測逃逸

針對http/https設置反代理方案,通過獲取當前系統是否處于wifi代理,若代理的IP和Port與設備不一致,直接攔截請求及檢測設備是否存在Root權限

3.3云服務逃逸技術

應用在運行過程中打補丁便捷的行為方式,同樣也帶來安全隱患,完全繞開應用商店策略,補丁代碼安全可想而知,在用戶不知情的情況下做各種惡意行為,如用戶隱私,監聽用戶行為數據采集等,如圖下發補丁方式上報活躍流量

四、刷量業務范圍

惡意應用會定時聯網與服務器通信,更新并加載最新的SDK惡意插件,根據流量監測情況,頻繁調整刷量功能及業務范圍,該插件通過接收與響應服務器下發指令,后臺隱藏執行多種作弊刷量推廣業務,進而實現自身牟利,目前最新版本的作弊刷量推廣業務涵蓋搜索、購物、新聞、視頻、紅包等多個領域。

[1] [2] [3] [4]  下一頁

【聲明】:黑吧安全網(http://www.gkrbnd.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        福彩原副主任