欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

不为人知的地下暗流:揭秘色情推广“影科技”家族背后的流量生意

来源:本站整理 作者:佚名 时间:2017-08-10 TAG: 我要投稿

一、前言
想知道自己为啥话费总是不够用吗?
想知道自己手机为啥莫名的卡顿的吗?
想知道自己手机里面为啥总有那么些不请自来的APP天天见吗?
这一切的难言之隐的背后绝大多数都来自于 “小电影”的诱惑,近期腾讯反诈骗实验室及移动安全实验室的鉴黄师又发现了一波以心动、裸色等名义进行传播的恶意应用。这款由X影科技开发的虚假色x应用(不要失望,现在要找个良心的真■小电影是非常不容易的,需要丰富的阅历和技巧)仅仅只借这个名义来完成它的发财梦。根据腾讯反诈骗实验室/移动安全实验室/手机管家安全团队的分析,该科技有三个发财套路:
1、快捞一比(先赚一笔保底):本身通过色情内容诱导用户付费,快速捞取一波收入;
2、再推一把(推广费也是必须拿到手的):通过恶意安装推广一批应用来赚取响应的分层收入(比如给你弄个游戏恶意扣费应用,玩把手机分分钟被套路扣钱);
3、最后留一手(持续性牟利):通过ROOT用户手机将自营后门植入用户手机底层(通常具备防卸载功能,篡改系统文件的行为),如此病毒开发商就能持续的通过这个恶意后门给用户推广各种应用达到持续性牟利。
二、病毒简介
1、母包本身多包含恶意行为,如短信扣费、诱导扣费、恶意推广;
2、下载安装的子包申请设备管理器权限防卸载;
3 子包潜藏在系统后台,高频率推广安装各类应用(有大牌正规应用,也有众多急于发家的不良应用);
4 包含Root行为,成功后可静默安装推广应用;
5 检测安全软件并退出。
下面以该家族病毒中用户量较大的一个应用为主展开分析:
应用名:心动影院
包名:com.txy.wzd
证书MD5:96C81FBBA5E*******67E4F587CA9C4
主要推广流程:

 
主要加载流程:

 
近三十天影响趋势:

 
三、详细分析
2.1 动态行为及分析
启动之后发现检查更新,并且必须进行更新,抓包获取到了更新的地址为:
http://videoapk.ycd****.com/20170802/837c24b8-d9e0-4150-a1fd-5b59034c594d-ishow_v5.3.15_3e360e2_plugin_patch_full.apk

更新之后启动的界面如上图右所示,很明显的一个色播类病毒。
上方送流量点击后跳转至http://liliang.yc****.com/liuliang/index.html#/produce
通过抓包可以发现应用除了更新、上传信息、下载图片、获取扣费信息等“正常行为”外,还下载了几个可疑的文件:
http://apk.chao****.cn/e13e432513914cdf9aa75ddb3eaa7adb.apk
——包名为com.cime.kige
http://dws.enh.i-bigda***.net:8080/appstore/pri/5403ddd6ecda4977b0ac92526095b12a.apk
——包名为com.kert.porn
http://cdn0127.868***.com:8080/edt6_r.apk
——加密文件
接下来发现应用执行了这样的命令:
chmod 777 /data/data/com.txy.wzd/files/arte /data/data/com.txy.wzd/files/arte "0" "/storage/emulated/0/.0ff7ed298509a28/com.kert.porn/abc/com.kert.porn_r1.app" "1800" "com.txy.wzd" "com.kert.porn" "com.auu.aoc.action" "/storage/emulated/0/.fd.lk" "sy" "sy" "p3005" "0" "2" "4"
里面包含了一个包名com.kert.porn,也就是之前下载下来的apk。
命令执行的文件arte是个elf文件,使用IDA进行分析:


主函数处无数的局部变量,对应是打乱了顺序的字串,还原顺序之后就可以发现一些有趣的东西:
am startservice –-user %s -a %s
am start –user %s -a android.intent.action.INSTALL_PACKAGE -d file://%s
主函数:

 

 

 
com.kert.porn(无图标应用):

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载