應用下載需警惕,“猜你妹”病毒潛伏應用市場伺機刷流氓應用

概述

        游戲猜的正嗨的時候,突然提示系統(tǒng)存在安全漏洞,嚇死本寶寶有沒有,在線等要不要修復? 小伙伴遇到此類提示可千萬別點,這是在騙你安裝惡意程序。

        近期,騰訊移動安全實驗室和騰訊反詐騙實驗室就發(fā)現(xiàn)一款名為”猜你妹”惡意游戲應用潛伏于各大應用市場,在特定的條件下伺機誘騙用戶安裝惡意程序。

        據(jù)騰訊移動安全實驗室和騰訊反詐騙實驗室安全工程師分析發(fā)現(xiàn),該惡意游戲應用通常將自己偽裝成個各種猜謎類應用,比如瘋狂猜明星、瘋狂猜明星2、看圖猜歇后語、猜歌TFboys等。

        該病毒家族開發(fā)的應用特喜歡讓用戶猜一猜,應用本身的行為反復無常，看上去似乎隔斷時間就來作案一次。

（1）開發(fā)者更新樣本頻率快

        在正常版本中摻雜惡意版本，打起“游擊戰(zhàn)”，企圖蒙混應用市場。

        開始安全---轉(zhuǎn)型病毒---恢復安全---繼續(xù)投毒---恢復安全：

（2）病毒的惡意行為觸發(fā)路徑很深，飽含滿滿的套路

        面對安全廠商的圍追堵截,開發(fā)者的猥瑣智慧就會不停的進化。該病毒樣本只有當用戶在特定時間玩到特定關卡的時候才會”獎勵”用戶一款惡意廣告程序。

1、樣本行為分析

        惡意樣本文件com.*********r6.guess360.apk是一個猜明星的游戲應用，運行界面如下：

        為了對抗反病毒軟件的檢測，該樣本的惡意行為的觸發(fā)需要綜合判斷多個條件，代碼如下：

        觸發(fā)條件：

（1）、this.e == 13，判斷當前的關卡數(shù)-1是否為13

（2）、!g.b()，根據(jù)時間信息判斷當前時間是否符合觸發(fā)條件

（3）、判斷要安裝的應用是否已經(jīng)安裝了

        在滿足觸發(fā)條件后，樣本執(zhí)行惡意行為，提示用戶系統(tǒng)存在安全漏洞，并將assets目錄下的應用釋放安裝。代碼如下：

        惡意行為截圖如下：

        安裝的惡意應用偽裝為系統(tǒng)應用，軟件名為Android，包名cvoo.wa.a，主要的惡意行為是云端下載root子包，root用戶手機，并含惡意廣告插件，在手機屏幕上匿名彈窗，推送浮窗廣告，嚴重影響用戶使用手機。

（1）、從云端下載root子包，并解密加載，下載鏈接：http://52.52.***.56/checker，

        root子包dex結(jié)構(gòu)

        root子包從云端下載root方案，并執(zhí)行root操作，root方案下載鏈接：

        http:\\cdn.gam***.org\strategy\dev_root2

        http:\\cdn.gam***..org\strategy\dev_root

        http:\\cdn.gam***..org\strategy\UnknownDev

        下載的root方案：

（2）、惡意應用在手機屏幕上匿名彈窗，推送浮窗廣告，嚴重影響用戶使用手機。

2、樣本迭代變化趨勢分析

       騰訊移動安全實驗室和騰訊安全反詐騙實驗室利用自有的安全分析大數(shù)據(jù)平臺，對該惡意樣本進行了軟件包名、開發(fā)者證書、樣本hash值和傳播渠道等多維度進行分析，發(fā)現(xiàn)該惡意樣本從2015年3月起就開始在國內(nèi)的各應用市場上傳播，至17年6月，該樣本已經(jīng)從版本1.0.1迭代到1.6.4，每隔幾天就會上傳新的樣本到應用市場，其中樣本的惡意版本就混雜其中，借以繞過應用市場對其進行的安全性檢測。

        此包名和開發(fā)者證書下的應用的相關變化趨勢：

        其中16年12月，騰訊反詐騙實驗室就發(fā)現(xiàn)了此樣本的一個惡意版本，該惡意版本在運行時從資源文件assets目錄下解密加載Root提權子包，上傳用戶的設備信息到遠程服務器，獲取相應的Root方案并進行Root提權行為，提權成功后，頻繁下載推送應用，對用戶正常使用手機造成影響。而近期發(fā)現(xiàn)的新的惡意版本則采用了新的作惡方式，已在上節(jié)中進行了詳細介紹。

3、樣本影響面和相關的開發(fā)者證書MD5

        根據(jù)分析，此類樣本的軟件名主要為：瘋狂猜明星、瘋狂猜明星2、看圖猜歇后語、猜歌TFboys等，在國內(nèi)幾大應用市場都有上架，且下載安裝量都達到了數(shù)十萬次，其中惡意樣本的感染用戶達到了數(shù)萬次。

4、背景溯源

（1）“猜xx”游戲開發(fā)者信息

        此樣本主要是在國內(nèi)各應用市場上傳播，通過比較樣本在應用市場上的上架信息，可以看出此類應用的開發(fā)公司主要是深圳市****科技有限公司，其主要法人為胡某軍。

（2）惡意子包相關信息

根據(jù)ROOT模塊中解密出來的url鏈接進行了溯源分析，主要URL為：http://cdn.game***.org，根據(jù)域名注冊的聯(lián)系人進行查詢，相關企業(yè)信息整理如下：

        主要產(chǎn)品都是仿冒熱門的游戲軟件，且都具有流氓廣告和惡意推廣功能。

5、安全建議

（1）國內(nèi)各應用市場應完善自身的應用安全性檢測機制，定期對應用的安全性進行檢查；

（2）應用市場應規(guī)范對應用開發(fā)者的管理，對于惡意應用的開發(fā)者應采取一定的管理措施。

（3）手機用戶應養(yǎng)成使用騰訊手機管家等安全軟件的習慣，對部分手機應用攜帶的惡意病毒進行查殺，保護手機安全。

6、關于騰訊手機管家和騰訊反詐騙實驗室

騰訊手機管家是騰訊旗下一款永久免費的手機安全與管理軟件。功能包括病毒查殺、騷擾攔截、支付保護、隱私保護、手機防盜等安全防護，此外還支持用戶流量監(jiān)控、垃圾清理、手機加速、手機瘦身、免費WiFi、軟件管理、相冊管理、來電秀、手機備份、提醒助手等高端智能化功能，不僅是安全專家，更是用戶的貼心管家。

騰訊移動安全實驗室和騰訊安全反詐騙實驗室匯聚國際最頂尖白帽***和多位騰訊專家級大數(shù)據(jù)人才，專注反詐騙技術和安全***體系研究。反詐騙實驗室擁有全球最大安全云數(shù)據(jù)庫并服務99%中國網(wǎng)民。