還記得2007年那個可怕的"熊貓"嗎?作者李俊幾乎是以一己之力喚醒了人們的安全意識。"熊貓燒香"爲李俊贏得了天才的名譽,同時也讓他鋃鐺入獄。處獄以後,李俊似乎銷聲匿跡了,可是就是這樣一個天才,卻再次走上了違法的道路,二次進宮,而讓他犯法的就是我們今天要說的"小電影"行業。暫時不討論李俊的熊貓燒香病毒,後續會專門分析。本篇文章不涉及輿論道德、身體健康、法律法律等因素。
概述
面對一些美女快播、美女視頻、宅男電影等應用程序,你是否想安裝?但可得小心點,這些應用程序不僅涉嫌傳播淫穢色情內容,很多程序還被內置惡意代碼,通過惡意推廣以及誘騙用戶支付,導致用戶資費損失。此類APP大多來源於管理不規範的應用市場、論壇社區、軟件站、網盤等。
病毒運行整體流程
之前大多色情病毒主要是通過廣告推廣,後臺私自向SP號碼發送短信訂購業務獲利,目前已經演變爲誘騙用戶,通過第三方支付插件支付,從而實現直接獲利。軟件的演變及流程圖:
現狀分析
病毒感染量統計分析
根據平臺的分析,2014年12月份爆發了大量惡意色情應用,該類病毒的主要行爲是直接或者誘導用戶進行點擊之後,後臺向SP號碼發送短信進行惡意扣費,同時會植入大量廣告應用,後臺私自下載推廣軟件及其他色情軟件、創建大量快捷方式誘騙用戶安裝運行,會造成用戶大量的流量消耗。
下圖爲2016年平臺每月色情類病毒的發現量如圖:
病毒技術原理分析
推廣技術
色情軟件一般都會內嵌一些廣告插件,一旦投放到市場中,依靠其淫穢色情內容吸引點擊量,就可以通過廣告來賺錢,具體實現一般包含後臺下載,或者通過創建桌面快捷方式和匿名彈窗推廣。
以平臺的“激情片庫”爲例,病毒運行後,誘導用戶安裝插件。如圖:
釋放並加載惡意插件代碼:
私自下載
該類病毒主要通過後臺獲取要推廣的產品APP下載地址,之後私自進行下載進行推廣,消耗用戶手機流量。如圖 4-3 所示:
創建快捷方式
病毒後臺下載推廣軟件,並且會私自下載其他色情視頻病毒,下載之後會在用戶手機桌面上創建大量快捷方式,誘導用戶點擊安裝。如圖 :
匿名彈窗推廣
病毒會聯網下載要推廣軟的圖片,不停的匿名彈窗,用戶點擊即彈出安裝界面,誘導用戶安裝運行。如圖:
支付流程演變
傳統扣費方式
這些批量生產的色情APP,都會內嵌一些廣告插件,還會私自發送短信,惡意扣費;還有病毒會在私自發送短信的同時,攔截指定短信,從而導致用戶手機支付驗證短信被竊。
典型的銀色魅影木馬支付就是通過向SP號碼發送短信扣費。病毒運行後,私自聯網獲取SP號碼以及發送內容,並向獲取的SP號碼發送短信。如圖 :
每次都是小額扣費,但是會發送多次此類扣費短信
病毒同時會對關鍵字短信進行攔截,導致用戶無法發現扣費情況。例如銀色魅影木馬就會屏蔽以”10086″”1065″”1066″”118010″”10001888″開頭,或內容包含”成功訂購”"和視頻”"和視界”的短信。如圖:
傳統的扣費方式中,其中SP服務商是關鍵,一般製作人員不具備申請SP業務的資格,所以製作人員只能拿到不多的廣告費或者盈利分成。
當前流程扣費方式
隨着移動支付業務的興起,色情軟件也隨之搭上了移動支付的便車。微信支付、支付寶支付等第三方支付開始成爲色情軟件支付的主流;同時病毒製作者就可以申請第三方支付插件使用,從而支付之後可以直接受益,因此該類病毒開始更加註重使用第三方支付插件。
以我們手裏的“色色看片”爲例,病毒運行後彈出相關頁面,點擊任意視頻後直接展現試看內容,試看視頻播放完成之後,會彈出窗口,要求用戶支付。
支付方式集成了微信、支付寶等現有的主流支付插件,當用戶點擊支付寶支付或者微信支付時,病毒會發起各自的支付接口進行支付操作。
使用微信支付插件支付代碼如下圖:
使用支付寶點擊確認付款會彈出支付寶的支付界面
用戶付款後一筆交易隨即結束,查看此病毒的代碼結構可以發現,此病毒集成了四種支付插件,支付寶,微信,威富通,中興付,而此類支付插件一般以微信支付和支付寶支付爲主,暫未發現銀聯支付或者短信支付的情況,未來不排除可能。如圖 :
此類方式相比SP服務扣費簡單高效,可以進行大額支付,而且少了中間SP服務商的環節,增加了病毒製作者或傳播者的盈利能力。
黑色產業鏈分析
歷史演變
從最初的SP業務扣費到現在微信支付寶等網絡付費,病毒的支付方式在不斷前進。
誘騙手法
色情軟件一般使用惹火的圖標和曖昧的名稱誘騙用戶下載安裝,下圖爲排名前十的色情軟件安裝名稱佔比。如圖 5-1所示:
獲利方式
如圖 5-2所示:
APP 一般都會內嵌廣告插件,上傳到網絡之後,依靠其淫穢色情內容吸引點擊量,就可以通過廣告來賺錢;同時該類病毒會私自向SP號碼發送短信進行惡意扣 或者通過誘導的方式,誘導用戶使用微信、支付寶等方式進行扣費來直接獲利。
溯源分析
下載地址溯源
對該類軟件的下載地址進行統計,其中top12的下載地址出現頻次很高。 如圖 :
對這些域名信息查詢發現有非常多的第三方註冊商的註冊域名和註冊郵箱,過濾有效的信息,得出的主要域名註冊人與郵箱的對應關係如下圖:
惡意推廣溯源
在上面的”激情片庫”中,病毒安裝之後會從服務器獲取推廣軟件的下載地址,創建快捷方式,經過代碼分析,解密發現推廣服務器地址爲139...152:8080。如圖 :
私自聯網獲取惡意推廣的下載地址等信息:
查詢IP地址發現其租用的是***服務器
支付溯源
根據微信支付接口和支付寶支付接口的介紹,個人申請支付接口只需要進行實名認證填寫相關資料同時上傳APP註冊成功即可。
以微信爲例。如圖 :
註冊開發者賬號的時候需要進行實名認證,填寫手機號以及身份證號,成功註冊賬號後進行開發者資質認證;第二步註冊APP,填寫app相關信息,等待審覈。如圖 :
申請成功後,微信會發送給申請者一個綁定應用的APPID。如圖:
一般以”wx”開頭,在上面“色色看片”病毒中我們找到了它的APPID。如圖 :
根據此APPID就可以定位到指定商戶,這樣就鎖定了此病毒的收費人員
小結
根據病毒相關信息我們追溯到金米網,金米網是一個域名註冊商,其中惡意域名佔23.86%,由此可見當前對域名註冊商對旗下域名管理不規範,應當強制實行域名註冊實名制,從而可以對惡意域名實施監控和追蹤,未來病毒變種不斷增多,相關溯源結果也會越來越準確;同時對於色情類誘騙支付病毒,目前使用第三方支付插件進行支付,通過分析其申請流程可以發現,開發這需要上傳APK,獲取插件中的必要字段之後,才能正常使用插件支付,因此第三方支付插件應該對開發者上傳的APK進行嚴格審覈。
防範及處置建議
安全從自身做起,建議用戶在下載軟件時,到針對的應用商店進行下載正版軟件,避免從論壇等下載軟件,可以有效的減少該類病毒的侵害;
安全需要做到防患於未然,可以使用APP威脅檢測與態勢分析平臺進行分析對Android樣本提取信息並進行關聯分析和檢測;
對於收費轉賬的QQ號碼或者微信號碼記性追蹤治理,從收益環節阻斷該類軟件對用戶侵害。
寫在最後
app要從正規的應用商店下載,app要從正規的應用商店下載,app要從正規的應用商店下載。重要的事情說3遍。更多關於Android逆向、安全相關內容,歡迎關注我的公衆號:
