概述
游戏猜的正嗨的时候,突然提示系统存在安全漏洞,吓死本宝宝有没有,在线等要不要修复? 小伙伴遇到此类提示可千万别点,这是在骗你安装恶意程序。
近期,腾讯移动安全实验室和腾讯反诈骗实验室就发现一款名为”猜你妹”恶意游戏应用潜伏于各大应用市场,在特定的条件下伺机诱骗用户安装恶意程序。
据腾讯移动安全实验室和腾讯反诈骗实验室安全工程师分析发现,该恶意游戏应用通常将自己伪装成个各种猜谜类应用,比如疯狂猜明星、疯狂猜明星2、看图猜歇后语、猜歌TFboys等。
该病毒家族开发的应用特喜欢让用户猜一猜,应用本身的行为反复无常,看上去似乎隔断时间就来作案一次。
(1)开发者更新样本频率快
在正常版本中掺杂恶意版本,打起“游击战”,企图蒙混应用市场。
开始安全---转型病毒---恢复安全---继续投毒---恢复安全:
(2)病毒的恶意行为触发路径很深,饱含满满的套路
面对安全厂商的围追堵截,开发者的猥琐智慧就会不停的进化。该病毒样本只有当用户在特定时间玩到特定关卡的时候才会”奖励”用户一款恶意广告程序。
1、样本行为分析
恶意样本文件com.*********r6.guess360.apk是一个猜明星的游戏应用,运行界面如下:
为了对抗反病毒软件的检测,该样本的恶意行为的触发需要综合判断多个条件,代码如下:
触发条件:
(1)、this.e == 13,判断当前的关卡数-1是否为13
(2)、!g.b(),根据时间信息判断当前时间是否符合触发条件
(3)、判断要安装的应用是否已经安装了
在满足触发条件后,样本执行恶意行为,提示用户系统存在安全漏洞,并将assets目录下的应用释放安装。代码如下:
恶意行为截图如下:
安装的恶意应用伪装为系统应用,软件名为Android,包名cvoo.wa.a,主要的恶意行为是云端下载root子包,root用户手机,并含恶意广告插件,在手机屏幕上匿名弹窗,推送浮窗广告,严重影响用户使用手机。
(1)、从云端下载root子包,并解密加载,下载链接:http://52.52.***.56/checker,
root子包dex结构
root子包从云端下载root方案,并执行root操作,root方案下载链接:
http:\\cdn.gam***.org\strategy\dev_root2
http:\\cdn.gam***..org\strategy\dev_root
http:\\cdn.gam***..org\strategy\UnknownDev
下载的root方案:
(2)、恶意应用在手机屏幕上匿名弹窗,推送浮窗广告,严重影响用户使用手机。
2、样本迭代变化趋势分析
腾讯移动安全实验室和腾讯安全反诈骗实验室利用自有的安全分析大数据平台,对该恶意样本进行了软件包名、开发者证书、样本hash值和传播渠道等多维度进行分析,发现该恶意样本从2015年3月起就开始在国内的各应用市场上传播,至17年6月,该样本已经从版本1.0.1迭代到1.6.4,每隔几天就会上传新的样本到应用市场,其中样本的恶意版本就混杂其中,借以绕过应用市场对其进行的安全性检测。
此包名和开发者证书下的应用的相关变化趋势:
其中16年12月,腾讯反诈骗实验室就发现了此样本的一个恶意版本,该恶意版本在运行时从资源文件assets目录下解密加载Root提权子包,上传用户的设备信息到远程服务器,获取相应的Root方案并进行Root提权行为,提权成功后,频繁下载推送应用,对用户正常使用手机造成影响。而近期发现的新的恶意版本则采用了新的作恶方式,已在上节中进行了详细介绍。
3、样本影响面和相关的开发者证书MD5
根据分析,此类样本的软件名主要为:疯狂猜明星、疯狂猜明星2、看图猜歇后语、猜歌TFboys等,在国内几大应用市场都有上架,且下载安装量都达到了数十万次,其中恶意样本的感染用户达到了数万次。
4、背景溯源
(1)“猜xx”游戏开发者信息
此样本主要是在国内各应用市场上传播,通过比较样本在应用市场上的上架信息,可以看出此类应用的开发公司主要是深圳市****科技有限公司,其主要法人为胡某军。
(2)恶意子包相关信息
根据ROOT模块中解密出来的url链接进行了溯源分析,主要URL为:http://cdn.game***.org,根据域名注册的联系人进行查询,相关企业信息整理如下:
主要产品都是仿冒热门的游戏软件,且都具有流氓广告和恶意推广功能。
5、安全建议
(1)国内各应用市场应完善自身的应用安全性检测机制,定期对应用的安全性进行检查;
(2)应用市场应规范对应用开发者的管理,对于恶意应用的开发者应采取一定的管理措施。
6、关于腾讯反诈骗实验室
腾讯移动安全实验室和腾讯安全反诈骗实验室汇聚国际最顶尖白帽黑客和多位腾讯专家级大数据人才,专注反诈骗技术和安全攻防体系研究。反诈骗实验室拥有全球最大安全云数据库并服务99%中国网民。