谁给了你第一个手机病毒?安卓手机病毒来源分析

2016-10-19 14:54:00 作者:红黑联盟 分类 : 比特网

  用户手机的第一个病毒从何而来?这篇文章也许能给你答案。

  新应用安装概况

  在用户下载安装应用之时,Clean Master会对下载的文件进行安全扫描,仅从Clean Master扫描数据来看,几乎每天都有上千万次的应用安装行为。

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092139294.png

  应用的安装来源分布如下图二所示。据统计,约有1/3的应用是在用户未设置installer的情况下安装的。这意味着这些应用的来源无法被监控,也就是下图二中的‘未知’来源。绝大部分手机病毒都隐藏在这部分‘未知’来源的应用中。

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092140298.png

  主要安装源中病毒相关的行为:

  1. GooglePlay安装源:

  自动/网页广告/用户解锁/点击弹出的广告等来打开Google Play市场到指定的推广app页面,诱导下载

  打开googlePlay模拟点击,自动安装(不需root)

  2. 未知安装源:

  通过色情网页,第三方链接等渠道下载的病毒

  病毒推广安装的app

  短信蠕虫

  手机出厂预装(如赠品推广、电视广告等形式的山寨手机)

  ‘未知’来源的病毒应用安装情况

  ‘未知’来源的应用中含有大量病毒应用。来自Clean Master的数据显示,目前有三种病毒每天被安装超过10000次。

  病毒应用名称

  每天被安装次数

  org.message.up.update

  16379

  com.android.syscore

  12090

  com.power.core.setting

  10229

  org.ndf.sut

  9032

  com.kiy.freewifi

  8664

  com.zsysc.dwonload

  8069

  com.impupa.hum.zq

  7464

  com.witskies.yoyogo

  6638

  com.kaixuan

  5823

  com.google.webcps

  4764

  com.android.tools.receiver

  4718

  com.android.patchs

  4647

  com.codeauroim.systemupdate

  4385

  com.fun.locktouch

  4119

  com.op.uuj

  4061

  com.nts.gtf.zwt

  3811

  net.smart.game

  3659

  com.evince.exactly.exceeded

  3412

  heart.clear.luck

  3310

  com.bc.android.bctcore

  3233

  com.bt.wallpapers.hd

  3199

  com.google.android.syscps.mj

  3058

  com.fpnq.cleaner

  2929

  com.android.akeyassist.c

  2857

  表一 ‘未知’来源病毒应用安装数量

  不计算病毒推广安装的正常app,只计算被安装的应用为病毒的数量,根据上面的数据与每天安装总量的对比,病毒所占的比例不低于每天安装总量的千分之一。

  以上病毒大部分是被谁推广的?

  我们分析了其中两个主要病毒推广源com.sms.sys.manager与com.al.alarm.controller,它们属于同一家族, 这些病毒应用进入用户手机之后,会疯狂推广安装其他对用户无用的应用。下表是Clean Master统计到的设置了installer的数据。

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092142299.png

  图三中所示的两个病毒每日推广安装其他应用的数量较大。而受这两个病毒应用最严重的国家是印度,超过一半的感染量都在这里。其次是印度尼西亚和菲律宾,可见受灾最严重的国家主要集中在亚洲。

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092142300.png

  病毒恶意行为分析

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092144306.png

  遍历elf运行获取root权限

  /system/bin/nis

  /system/bin/daemonnis

  /system/bin/.daemon/nis

  /system/bin/.sr/nis

  /system/bin/ndcfg

  /system/bin/.daemon/ndcfg

  /system/bin/.sr/ndcfg

  广告推广及其它恶意app推广

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092144307.png

  这两个样本每天的推广安装量在3至4万之间,从1月份检测到此病毒至6月份为止一直成上升趋势,目前每天的推广量维持在3到4万之间。

  分析完病毒推广维度,我们又统计了网页维度的app下载量,以从整体上对恶意app的安装有个总体的认知。

  网址安全

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092144308.png

  当用户访问某个链接时,CMS隐私浏览功能可以判断是否为恶意链接。下表是根据CM Security 查询的数据统计的通过恶意网址传播的TOP病毒。

  病毒应用

  下载量

  行为

  Wireless optimizer

  16992

  Root+恶意广告

  WIFI Master pro

  8206

  Root+恶意广告

  AndroidSystemTheme

  7734

  恶意广告

  Adult Victoria

  4595

  Root+恶意广告

  AndroidBackup

  4546

  恶意广告

  MXplayer pro

  4169

  Root+恶意广告

  ES File Manager pro

  2921

  Root+恶意广告

  Love Beauty

  2507

  Root+恶意广告

  LockTouch

  2447

  Root+恶意广告

  Run Keeper

  2424

  Root+恶意广告

  Music Player Pro

  2281

  Root+恶意广告

  FireFox

  2166

  Root+恶意广告

  表二 恶意应用下载top

  GhostPush家族

  以上所有病毒与恶意广告均属于同一家族,简要分析如下

  MXplayer pro与Wireless optimizer代码结构

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092144309.png

  通过代码结构可以看到基本属于同一变种,其它的样本大多用了GhostPush相同的root模块,目前为止此病毒家族感染量一直稳居首位。

  Wireless optimizer与MXplayer pro Root方式:

  Ø Wirelessoptimizer上传信息从云端获取root elf文件来进行root

  root样本的多次升级,目前Android6.0以下的机器基本都可以完成root,关键代码以加密的方式放于assets目录或服务器中,用时动态加载,放于系统目录伪装成系统内置应用,su的调用加入多个不同的参数防止第三方获取root。 这些都加大了对root病毒的检测及清除难度,所以root病毒至今依然猖獗,感染量居高不下。

  Wirelessoptimizer

  行为以第一个Wireless optimizer为例,总体流程:

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092146311.png

  主要行为简述:

  Ø 显示欺诈/色情页面,诱导支付或下载新的恶意样本

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092147313.png

  Ø 显示广告/网站推广

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092149314.png

  Ø 点击跳转到色情页面或app推广

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092150315.png

  Ø 状态栏广告推送

http://www.2cto.com/uploadfile/Collfiles/20161019/20161019092151316.png

  病毒的行为同其它家族病毒行为基本相同,总体来说中毒用户依然是少数用户,但由于其具有root行为,并且病毒之间相互合作安装其它病毒,并通过色情,欺诈页面,引诱下载等方式引导用户下载恶意程序,所以其推广app的量甚至可以和一些第三方的应用市场持平,加上root病毒难以清除并经常自动从服务器更新广告/root sdk数据,会有一批稳定的“用户”量,通过广告,推广app等形式来获取收益。

  以上病毒对应的恶意域名TOP

  病毒对应恶意域名

  下载次数

  d11w6715sf0qtr.cloudfront.net

  1465

  d2xprsj0riymso.cloudfront.net

  1046

  d2elva29up0ecb.cloudfront.net

  828

  d2b5yq44mldizo.cloudfront.net

  791

  d149ec88gwqs65.cloudfront.net

  645

  d2xprsj0riymso.cloudfront.net

  627

  d1aqbdl78d2ij9.cloudfront.net

  612

  d2xprsj0riymso.cloudfront.net

  603

  cdn4.he88cc.com

  579

  d2hxoy27lswrwn.cloudfront.net

  557

  d3nrmonu5chdoe.cloudfront.net

  557

  dflnr8mbt9zn4.cloudfront.net

  543

  developed.down.paipaijiajiahoho.rocks

  532

  developed.down.speedeverything.racing

  436

  d223pr27hf09gh.cloudfront.net

  408

  d32vdaxi7kise9.cloudfront.net

  385

  d1p99gh6syi4w3.cloudfront.net

  355

  d2zftpxw5x4sda.cloudfront.net

  330

  apk.cs9adv.com

  318

  cdn4.he88cc.com

  284

  d12wwrgn171dpf.cloudfront.net

  282

  d3miaiw22d9toa.cloudfront.net

  256

  diyuudi4itl2y.cloudfront.net

  242

  d15kk6vif9vfl2.cloudfront.net

  239

  kokddl.b0.upaiyun.com

  230

  d2g6yvve5jkgj.cloudfront.net

  220

  d3befr7zfyxng9.cloudfront.net

  214

  dufk90vz3m463.cloudfront.net

  212

  developed.down.speedeverything.racing

  211

  d3v84euoiqd4ja.cloudfront.net

  203

  cdn4.he88cc.com

  193

  d16tqylaric8rz.cloudfront.net

  191

  d3vgnpmqp0287f.cloudfront.net

  180

  d1oys6pgzouz0v.cloudfront.net

  177

  d3hg5helwcy9a6.cloudfront.net

  177

  d3rnd9sreh1icy.cloudfront.net

  175

  dgpp3263vzsn4.cloudfront.net

  171

  d2qk9dhiyof2a7.cloudfront.net

  170

  dz4h53f1fc33s.cloudfront.net

  170

  d16lmr1g7q6e6x.cloudfront.net

  168

  kokddl.b0.upaiyun.com

  168

  d2ky4lft4asw5.cloudfront.net

  161

  down.slamdunk.space

  161

  apk.cs9adv.com

  147

  ds1tj08wt495i.cloudfront.net

  142

  developed.down.paipaijiajiahoho.rocks

  135

  d9bf1mn02xkeo.cloudfront.net

  131

  表三 恶意域名top

  由于是同一家庭的病毒,基本上访问的root服务、广告服务都是对应于同一个域名。猎豹移动安全实验室对这些域名的来源做了分析,以发现是什么样的链接引导用户安装恶意的app。

  跳转到这些域名下载的上一级来源为

  病毒下载链接的referrer

  访问数量

  adf.ly

  30271

  slimspots.com

  10021

  cloudfront.net

  6120

  sh.st

  4485

  pdanew.com

  3063

  japemusic.com

  2850

  afftrack.com

  2533

  clickpartoffon.xyz

  2134

  adyou.me

  1429

  ouo.press

  1285

  adreactor.com

  1247

  bc.vc

  1209

  popads.net

  962

  waframedia8.com

  907

  zatnawqy.net

  864

  adultmaster25.com

  712

  ……

  表四 上级链接来源top

  可见病毒的主要来源,来自短链接以及一些广告链接。

  经过我们排查短链接与广告链接的上一级来源后,结果大致如下。

/uploadImages/2016/10/20161019145621954.jpg

  总结

  l 病毒在每天的安装量中占到至少千分之一,实际病毒的推广量远大于这个数值

  l 病毒安装量主要来源于root病毒及网页安装

  l 色情网站、短链接、广告链接为主要的病毒来源

  病毒一般以色情、欺诈页面、诱导等方式通过第三方网页传播下载,目前Android6.0以下的机器都有被病毒root的风险,在平时请不要点击不认识的第三方链接,仅从正规市场上下载应用。一旦手机中了root病毒可以搜索相关的专杀软件或者通过手机售后刷机来达到清除root病毒的目的,除此外尽快升级为Android6.0或以上版本也是一个好的方法。

芥末视频

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。