欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

揭露操控百万肉鸡的GhostFramework

来源:本站整理 作者:佚名 时间:2017-10-19 TAG: 我要投稿

一、媒介
1、 公司化幕后运作,经由进程线下渠道歹意装置后门法式,受影响的”肉鸡”高达200万+。


2、 GhostFramework沾染地区高度凑集,大部门的影响用户都位于浙江省境内,重要影响宁波、杭州、温州、台州、嘉兴、金华等地。

3、 中招的”肉鸡”将接收到GhostFramework从云端下发的节制敕令
完成刷流量(如baidu搜刮、搜狗搜刮、360搜刮、神马搜刮、天猫等),装置不明利用,弹告白等义务.幕后的公司则经由进程这些流量变现谋取好处。

4、 GhostFramework流传起源阐发
依据溯源信息杭州科技股份有限公司和杭州收集科技最有能够是此病毒后门的幕后黑手。

二、APK具体剖析
2.1 样本根本信息
利用名: Android Data Report
包名: com.android.system.xfortify
证书(罕用): ce53356b6d0fb01253e603928f747878
重要作歹流程:

触及网址:

样本流传环境:

2.2 捏造拜访刷量
刷量歹意子包应用原生webview框架,经由进程定制JS完成客户端模仿刷量行动。
起首样本会开释子包:

其操纵是开释下一个子包web.jar去履行真正的歹意操纵,和获得一些当地加密的config:


开释进去的web子包则履行了真正的刷量操纵,起首web子包会哀求云端获得一份包括刷量目的和js网址的JSON:

这外面包括了搜刮的症结词,点击频率等各类参数。
而后web子包会获得一个加密的js文件,来自:
http://cdn.**.com:8080/ads/js/web6-v1-stable.js

对其解密,结束阐发以后,发明这个js文件便是刷量操纵的症结点了,包括了模仿点击告白、模仿搜刮、模仿表单填写等功效,具体内容过量故将在后文中结束具体的阐发。未加密的js与加密的相似,不赘述。
在获得这些文件信息以后,web子包将其载入本身编写的WebView中结束出现:

除此之外,部门版本的样本将拜访http://t.***.com/update.php?channel=qddl_51&uid=359ca82c-60bb-303a-af80-28d167a92020&from=shell&kernelVersion=0&lastUpdateTime=0获得一个子包下载地点:http://cdn.*.com/title.png
该png文件是加密后的子包,解密以后获得包名为com.gw.coreapp,对其阐发以后发明和以前的web子包迥然不同,重如果获得信息的网址有所变更:
http://61.*..140/ando/x/
http://n.*.com:8066/s/
http://n.*.com:8066/s/
因为包名中的gw为”GhostWeb”的缩写,故也依此将这种捏造WebView结束刷量操纵的子包统称为GhostWeb,外部主控统称GhostFramework。
2.3 症结JS具体阐发
对JS操纵结束分类总结如下:
(1) 应用惯例搜刮引擎模仿搜刮云端下发的症结字
(2) 模仿点击搜刮内容,并对热门、告白结束点击
(3) 断定达到特定页面将会结束特定的点击或其余操纵:
a. Tmall商号点击

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载