首页 今日头条 正文

总流量e魔病毒分析汇报-必威betway_必威体育官网app_必威体育官网下载

零之使魔

前语:

近期,腾讯安全实验室捕获一款在用户设备上有反常流量拜访运用,此木马在用户设备上存在私自获取设备信息,用户行为隐私数据,后台频频拜访网络恳求油菜,云控方法下发刷量插件行为,经过安全人员剖析,这批软件归于新发病毒,经过创立低像素窗体让用户难以发觉,一切屏幕接触,滑动事情会一起呼应到躲藏窗体,模仿实在用户网页阅读行为,一起剖析用户行为数据诈骗广告主流量核算反做弊算法,完结变相流量诈骗意图,经过视频广告刷量,CPD下载量,周期性拉新服务,赚取广告推行费用等,完结灰色牟利。

逃逸技能:

1.静态检测技能总流量e魔病毒剖析报告-必威betway_必威体育官网app_必威体育官网下载:包名,类名,方法名混杂成特殊符号,字符串躲藏未加密数组,每个类主动化生成不同的加密算法。

2.动态沙箱检测:多种设备状况监控,包括模仿器,流量剖析东西,设备是否Root,网络署理剖析软件检测,全面辨认

非实在用户运转环境。

3.云服务逃逸:将歹意功用剥离成补丁文件并存储在云服务器,经过云端下发热补丁修正计划,云端装备是否下发,在用户端履行歹意功用代码,能够绕过运用装置包检测和添加蜜罐剖析的难度。

总流量e魔病毒剖析报告-必威betway_必威体育官网app_必威体育官网下载
诸天至尊 总流量e魔病毒剖析报告-必威betway_必威体育官网app_必威体育官网下载

变现方法:

1.歹意推行运用:从云端获取运用推行使命,对不同用户推行运用。

2.电商途径引流:从云端获引流使命,控制中毒设备推行指定商家产品到用户。

3.视频点击量:后台短时间频频发送很多网络恳求,针对抢手视频网站进行刷曝光量。

4.广告做弊刷量:多广告途径叠加,多种类型广告支撑刷量,模仿实在用户点击视视添加曝光量,下载,装置,更新等数据上报。

安全要挟:

关键词:首要损害触及隐私盗取,唐僧扮演者流量诈骗和云控作恶

一、歹意软件运转流程图

二、样本与感染用户数

2.1歹意运用首要经过下发歹意sdk刷量使命,动态加载的歹意功用模块,补丁等方法加载完结歹意功用,经过动态加载模块相关后台歹意样本top15如下图:

2.2 6月至9月的感染用户改变趋势,均匀日影响上万用户。

三、对立方法剖析 3.1静态检测技能逃逸

自写算法或常见对称算法对字符串进行加密,并总流量e魔病毒剖析报告-必威betway_必威体育官网app_必威体育官网下载在运转时还原为本来的字符串,对立安全检测

经过随机生成包名,类名等,根本归于同款歹意插件,防止安全软件查杀,相同的代码在几份sdk中运用了不同且无规律的包名,代码类似度极高,便开端周期履行歹意功用并发动拉新服务。

3.2动态沙箱检测逃逸

针对http/https设置反署理计划,经过获取当时体系是否处于wifi署理,若署理的IP和Port与设备不一致,直接阻拦恳求及检测设备是否存在Root权限

3.3云服务逃逸技能

运用在运转过程中打补丁快捷的行为方法,相同也带来安全隐患,彻底绕开运用商铺战略,补丁代码安全可想而知,在用瀚思想康户不知情的状况下做各种歹意行为,如用户隐私,监听用户行为数据收集等,如图下发补丁方法上报活泼流量

四、刷量事务范围

歹意运用会守时联网与服务器通讯,更新并加载最新的SDK歹意插件,依据流量监测状况,频频调整刷量功用及事务范围,该插件经过接纳与呼应服务器下发指令,后台躲藏履行多种做弊刷量推行事务,从而完结本身牟利,现在最新版别的做弊刷量推行事务包括查找、购物、新闻、视频想念赋予谁、红包等多个范畴。

五、运用概况剖析

歹意功用导图:

5.1母包代码结构:

恳求数据包括要履行的刷量,上报,检测等使命插件

恳求链接:d.b***net.com

利多卡因

恳求数据:网络类型,IMEI,type,model,IMSI,版别,手机品牌,体系版别等内容

回来内容:包括子包id,包名,子包下载url,软件名,描绘等

5.2注册/监控设备

歹意模块发动后,首要完结一下几个动作:

1.将软硬件根本行为信息,如硬件imei,nettype,version,andver,brand,model设备及监控视频状况,据POST提交到服务器来注册设备:p**.**.com

2.监控设备:上报用户操作设备数据,包括app_list 列表…

3.先拜访CNZZ的数据中心:z*.**.com设杨安娣备id,估测此恳求是用来核算感染的设备数量

4.发送设备数据到a.b**net业精于勤荒于嬉.com来注册受害设备

1.将软硬件根本行为信息,如硬件imei,nettype,version,andver,brand,mod业el设备及监控视频状况,据POST提交到服务器来注册设备:p**.**.com

2.监控设备:上报用户操作设南柯一梦备数据,包括app_list 列表…

3.先拜访CNZZ的数据中心:z*.**.com设备id,估测此请总流量e魔病毒剖析报告-必威betway_必威体育官网app_必威体育官网下载求是用来核算感染的恶棍天使设备数量

4.发送设备数据到a.b**net.com来注册受害设备

服务器呼应数据包:与初次装置该软件信息比照,用户更新的软件信息

5.3周期性拉新

经过随机包名插件,根本归于同款歹意拉新插件,代码类似度极高,代码中便开端周期履行歹意功用并发动拉新服务。

上报数据核算中心服务器,核算感染的设备数量

5.4刷视频曝光量

经过创立很难被发觉的1pdi像素webview窗体来播映视频,经过调用方炯斌JS接口进行交互,一切接触,滑动事情会一起呼应到webView上,模仿点击webwiew网页中操总流量e魔病毒剖析报告-必威betway_必威体育官网app_必威体育官网下载作,这样做就实在模仿到用户网页阅读行为,诈骗广告运营商的流量核算反做弊算法,来变相进行刷量的意图。

视频播映一段时间后,经过JS判别是否播映成功,来决议后续的使命履行逻辑

进犯视频网站搜狐,爱奇艺,youku,365yg,pptv等

运用js脚本刷视频点击量:

js函数监听页面操作播映,暂停,点击,中止

js函数核算页面元素相对方位,并进行滑动,点击操作

5.5电商产品引流

恳求内容包括:拉新运用包名,网络类型,IMEI,手机品牌,体系版别等内容

运用剪贴板功用,周期性的将口令写入到剪贴板中,这样当用户翻开电商2020年app运用后,会主动引流对应的推行页面来完结指定淘宝网店引流咬人猫

服务端呼应内容包括:淘宝口令,点击id,包名等

5.6关键字优化

优化产品关键字和形容词,进行查找查询,来诈骗查找引擎算法进步查找成果先后顺序

5.7刷下载量

产品曝光来按下载量计费,此歹意插件经过假造CPD下载量来到达不法牟利的意图

5.8 CNNZZ核算与广告后台

大部分由d.b***t.com域名下发的插件,均带有用于核算感染量链接,获取设备仅有标识信息包括,产品品牌,产品制造商,产品类型,设备类型等,终究指向CNZZ核算与广告核算后台

四、相关URL收拾

五,黑产溯源

经过对相关信息溯源发现坐落深圳的两家黑产公司,溯源到的相关域名:php.**.com,log.**.com,v.**.com,ff.**.com

六、检测和总流量e魔病毒剖析报告-必威betway_必威体育官网app_必威体育官网下载防护主张

木马运用仿冒体系运用的软件名,歹意行为对普通用户来说感知力十分弱,具有很强的隐蔽性,迷惑性强,此木马功用强大,用户设备一旦感染,逐步被暗地黑产人员监控设备,并供给最新的歹意补丁,沦为黑产分子进行运用推行,视频盗刷,电商引流等虚伪的行为“肉鸡”。

针对普通用户怎么防止受此木马的损害,咱们对给出了如下防护主张:

1,不要装置非可信渠雨一直下道的运用、不要随意点击不明URL链接和扫描安全性不知道的二维码信息;

2,及时对设备进行安全更新;

3,装置腾讯手机管家等安全软件,实时进行维护;

4,若发现手机感染木马病毒,请及时运用安全软件进行整理,防止重复穿插感染。

1,不要装置非可信途径的运用、不要随意点击不明URL链接和扫描安全性不知道的二维码信息;

2,及时对设备进行安全更新;

3,装置腾讯手机管家等安群英会全软件,实时进行维护;

4,若发现杨一木手机感染木马病毒,请及时运用安全软件进行整理,防止重复穿插感染。

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM