欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

警惕新型儿童游戏木马,守护孩子们的天空

来源:本站整理 作者:佚名 时间:2018-05-31 TAG: 我要投稿

一、概要
近期,腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎捕获到儿童游戏-宝宝**、儿童游戏-宝宝**、儿童游戏-公主** 等“儿童游戏”系列应用在用户设备上有流量异常行为,且存在频繁动态加载dex文件、执行命令、私自提权等可疑操作。安全研究人员通过深入跟踪和分析,发现这类应用表面上是儿童益智类的小游戏,在国内大部分应用市场都有上架,运行后应用界面也没有广告,看起来很“良心”,但实际上,这些应用可以通过云端控制下发恶意插件,在背地里做着用户无法感知的恶意行为:加载恶意广告插件,通过将广告展示界面设置为不可见,进行广告盗刷行为,疯狂消耗用户流量;动态加载恶意ROOT子包,获取手机ROOT权限,替换系统文件,将恶意的ELF文件植入用户手机。
安全人员将这一系列木马应用称为“BlackBaby”木马家族,且“BlackBaby”木马植入的恶意ELF文件模块可以脱离母体独立运行,长期潜伏用户手机,且开机自启动,在后台静默推送恶意色情、扣费软件,对用户造成严重滋扰。
腾讯安全专家分析发现“BlackBaby”系列木马为了绕过查杀、提升了与杀软对抗的能力,使用了很多病毒逃逸技术,主要包括:
使用代码分离技术将代码拆分为多个dex子包,分阶段自云端下载并动态加载,用以绕过了杀软的安装包检测,且便于其他应用集成;
使用了强混淆技术,自定义的字符串变形加密等手段,对抗静态代码检测;
云端控制下发逻辑,躲避杀软的蜜罐检测;
“BlackBaby”系列木马涉及一百多款儿童游戏应用,累计影响用户数达百万,其中影响用户较大的应用有:
软件名
包名
周用户量
儿童游戏-涂***
com.men.******rawl
20万+
儿童游戏-宝宝***钉
com.lhyy.chil****urnly
12万+
儿童游戏-打***
com.yuyoo******le3.sub1
7万+
宝宝***-儿童游戏
com.lhyy.chi*****ro
7万+
宝宝学习-涂色***
com.ba*****lor
6万+
儿童游戏-宝宝***
com.lhyy.children***
4万+
儿童游戏-宝宝***
com.lhyy.childrenc***
3.5万+
宝宝游戏-儿童超市
com.lhyy.children***
3.5万+
儿童游戏-宝宝***钉
com.lhyy.children****ly
3.5万+
儿童游戏-宝宝***屋
com.lhyy.ltm.baby****
3万+
儿童游戏-宝宝***钉
com.lhyy.children******
3万+
儿童游戏-宝宝***
com.doding.children******
3万+
宝宝游戏-儿童***
com.lhyy.children******
2.5万+
儿童游戏-宝宝***巴士
com.baby.baby***
2.5万+
恐龙宝宝***益智
com.lhyy.wl.protwobaby******
2.5万+
宝宝***派对
com.lhyy.ltm.baby******
2.5万+
宝宝游戏-儿童***
com.lhyy.children******
2.5万+
儿童游戏-方块***
com.lhyy.******ks
2.5万+
儿童游戏-宝宝***
com.lhyy.children******
2.5万+
儿童游戏-***花园
com.yuyoogame.ameng******u1Sub1.sub1
2.5万+
****拼图儿童拼图
com.lhyy.*****
2万+
儿童游戏-宝宝***
com.baby.****
2万+
宝宝***酷游戏
com.lhyy.wl*****
2万+
儿童游戏-***音乐
com.doding.children****
1.5万+
儿童游戏-宝宝****
com.lhyy.children****
1.5万+
****游戏-2到7岁
com.doding.fmsdjig******
1.5万+
宝宝神奇**
com.lhyy.wl.new****
1.5万+
儿童学习公主****
com.lhyy.wl.princesspuzzl****
1.5万+
****游戏-2到7岁
com.doding.fmsdjigsaw****
1.5万+
美图****宝宝拼图
com.lhyy.wl.****puzzle
1.5万+
****乐园-宝宝游戏
com.yuyoogame.ameng******.bingyuan1
1.5万+
儿童游戏-宝宝****
com.lhyy.children****
1.5万+
宝宝游戏-儿童***
com.lhyy.children****
1.5万+
儿童游戏-宝宝****
com.doding.children******
1万+
宝宝认知****游戏
com.yuyoogame.******gu1
1万+
宝宝****益智游戏
com.lhyy.wl.probaby****
1万+
儿童游戏-****乐园
com.yuyoogame.******
1万+
宝宝***
com.lhyy.children****
1万+
宝宝游戏***达人
com.lhyy.wl.******
1万+
宝宝游戏-儿童****钉
com.lhyy.children******
1万+
儿童游戏-**世界
com.yuyoogame.******
1万+
****乐园3
com.yuyoogame.ameng.****
1万+
儿童游戏****拼图
com.lhyy.wl.****puzzle
1万+
儿童游戏-宝宝****
com.lhyy.children****
1万+
……
 
 
腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎基于应用的行为进行深度学习,能有效探测应用的可疑操作,很好的应对上述病毒应用采用的逃逸技术,目前已经率先支持查杀该木马家族。


二、病毒详细分析
我们以 儿童拼图**拼图 样本为例,对“BlackBaby”木马的作恶行为进行详细分析。
2.1 病毒执行流程

2.2  详细流程分析

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载