欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

流量e魔病毒分析报告

来源:本站整理 作者:佚名 时间:2019-10-09 TAG: 我要投稿

近期,腾讯安全实验室捕获一款在用户设备上有异常流量访问应用,此木马在用户设备上存在私自获取设备信息,用户行为隐私数据,后台频繁访问网络请求,云控方式下发刷量插件行为,经过安全人员分析,这批软件属于新发病毒,通过创建低像素窗体让用户难以察觉,所有屏幕触摸,滑动事件会同时响应到隐藏窗体,模拟真实用户网页浏览行为,同时分析用户行为数据欺骗广告主流量统计反作弊算法,实现变相流量欺诈目的,通过视频广告刷量,CPD下载量,周期性拉新服务,赚取广告推广费用等,实现灰色牟利。

逃逸技术:

1.静态检测技术:包名,类名,方法名混淆成特殊符号,字符串隐藏未加密数组,每个类自动化生成不同的加密算法。

2.动态沙箱检测:多种设备状态监控,包括模拟器,流量分析工具,设备是否Root,网络代理分析软件检测,全面识别

非真实用户运行环境。

3.云服务逃逸:将恶意功能剥离成补丁文件并存储在云服务器,通过云端下发热补丁修复方案,云端配置是否下发,在用户端执行恶意功能代码,可以绕过应用安装包检测和增加蜜罐分析的难度。

变现方式:

1.恶意推广应用:从云端获取应用推广任务,对不同用户推广应用。

2.电商平台引流:从云端获引流任务,操控中毒设备推广指定商家产品到用户。

3.视频点击量:后台短时间频繁发送大量网络请求,针对热门视频网站进行刷曝光量。

4.广告作弊刷量:多广告平台叠加,多种类型广告支持刷量,模拟真实用户点击视视增加曝光量,下载,安装,更新等数据上报。

安全威胁:

关键词:主要危害涉及隐私窃取,流量欺诈和云控作恶

一、恶意软件运行流程图

二、样本与感染用户数

2.1恶意应用主要通过下发恶意sdk刷量任务,动态加载的恶意功能模块,补丁等方式加载实现恶意功能,通过动态加载模块关联后台恶意样本top15如下图:

2.2 6月至9月的感染用户变化趋势,平均日影响上万用户。

三、对抗方式分析

3.1静态检测技术逃逸

自写算法或常见对称算法对字符串进行加密,并在运行时还原为原本的字符串,对抗安全检测

通过随机生成包名,类名等,基本属于同款恶意插件,避免安全软件查杀,同样的代码在几份sdk中使用了不同且无规律的包名,代码相似度极高,便开始周期执行恶意功能并启动拉新服务。

3.2动态沙箱检测逃逸

针对http/https设置反代理方案,通过获取当前系统是否处于wifi代理,若代理的IP和Port与设备不一致,直接拦截请求及检测设备是否存在Root权限

3.3云服务逃逸技术

应用在运行过程中打补丁便捷的行为方式,同样也带来安全隐患,完全绕开应用商店策略,补丁代码安全可想而知,在用户不知情的情况下做各种恶意行为,如用户隐私,监听用户行为数据采集等,如图下发补丁方式上报活跃流量

四、刷量业务范围

恶意应用会定时联网与服务器通信,更新并加载最新的SDK恶意插件,根据流量监测情况,频繁调整刷量功能及业务范围,该插件通过接收与响应服务器下发指令,后台隐藏执行多种作弊刷量推广业务,进而实现自身牟利,目前最新版本的作弊刷量推广业务涵盖搜索、购物、新闻、视频、红包等多个领域。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载