777精品出轨人妻国产,熟女av人妻一区二区三四区,国产精品无码中文在线av,美脚パンスト女教师在线观看

一家中國廣告公司,如何利用惡意軟件感染全球 8500 萬臺手機?

轉載 3 收藏 評論
舉報 2016-07-07

最近Check Point發布了一份非常詳細的報告,談到一款名為HummingBad的Android惡意程序。此惡意程序在行為方式上和先前一些相當霸道的Android惡意程序類似,不過它有幾大亮點:其一背后操縱者來自中國重慶(注意下面還有地址哦…);其二其感染范圍極為廣泛,Check Point研究人員表示,HummingBad估計已經感染了8500萬設備。

一家中國廣告公司,如何利用惡意軟件感染全球 8500 萬臺手機

來源:FreeBuf黑客與極客
作者:歐陽洋蔥

HummingBad的實例增長

一家中國廣告公司,如何利用惡意軟件感染全球 8500 萬臺手機


HummingBad幕后團隊大曝光

Check Point在報告中將這款Android惡意程序稱作HummingBad。這款惡意程序的作者是國內的一家廣告公司,名叫微贏互動(Yingmob!這下火了?。?。Check Point在報告中毫不留情地揭露了這家公司的一些細節信息。

連工位都有啊!

一家中國廣告公司,如何利用惡意軟件感染全球 8500 萬臺手機

據說微贏互動內部還是有好幾個團隊在開發合法追蹤和廣告平臺的。而負責開發像HummingBad這樣惡意產品的團隊名為“海外平臺開發團隊”,這個團隊內部有4個小組,共25名成員。

該團隊有三個開發項目,分別是Eomobi(就是HummingBad惡意組件產品)、Hummer Offers(廣告服務器分析平臺)、Hummer啟動器(這實際上是個廣告服務Android應用開發包),共開發6條產品線:

1.Ebomi
2.Hummer啟動器
3.Root軟件開發套裝(SDK)
4.Hummer Offers
5.MAT
6.Unitemobi

這家公司其實算不上惡意程序的新人。早在2015年的時候,Palo Alto曾經發布過一款iOS惡意程序YiSpecter的報告。當時Palo Alto就認為YiSpecter應該與微贏互動有關,因為這款惡意程序簽名就是微贏企業證書。

Check Point這次的報告則提到HummingBad和YiSpecter相比,有著相同的C&C服務器地址,行為方式也很相似。另外HummingBad內部還包含QVOD快播文檔(Check Point直接將之稱作iOS色情播放器,淚奔…),這其實跟Yispecter也有關聯。


HummingBad的目標當然是賺錢!

CheckPoint預計,HummingBad每天都會推2000萬廣告內容,其點擊率大約為12.5%,也就是說每天的廣告點擊量約為250萬次。此外,HummingBad每天還安裝超過50000個欺詐應用。

預計微贏互動每天光從廣告點擊,就能獲取超過3000美元的收益,而詐騙應用的安裝則能獲取7500美元/天。換算下來一個月就是30萬美元,一年則為360萬美元。

當前HummingBad已經感染了8500萬臺Android設備。不止于此,由于這款惡意程序會非法對Android設備進行Root操作,實現各類惡意程序的推送,這些設備幾乎就是被徹底掌控的。這些設備上的數據風險自不必多說,將它們組成僵尸網絡,發起攻擊,或者將這些訪問權限賣到黑市,都全然不在話下。

一家中國廣告公司,如何利用惡意軟件感染全球 8500 萬臺手機

微贏互動用他們自家的Umeng服務來追蹤HummingBad的感染情況(專業?。?。從Umeng的控制面板來看,這家公司“注冊”了近200款應用,預計其中25%都是惡意程序,用于分發HummingBad惡意程序。上面這張圖也來自Umeng的統計,從去年8月份開始,其活躍性成長表現還是相當不錯的。

一家中國廣告公司,如何利用惡意軟件感染全球 8500 萬臺手機

從HummingBad當前影響的國家地區來看,這款惡意程序當前應該算是個跨國惡意程序,雖然主要感染地區還是在中國和印度,其他各國的感染數量也是相當可觀的。



惡意行為分析

這次的報告中提到,HummingBad首次感染方法應該是隱藏下載攻擊(drive-by download),部分成人內容站點也提供了相應的惡意payload。

而HummingBad本身包含了兩個主要組成部分,其中一個組件負責對Android設備進行Root操作,Rootkit會考慮利用多種不同的漏洞。Root成功后,攻擊者就能完全獲取設備的訪問權限。如果Root失敗,第二套組件就會生成一個欺騙性的系統升級通知,欺騙用戶讓HummingBad獲取系統級權限(Root還是關鍵呀!)。無論Root是否成功,HummingBad都會盡可能下載大量欺詐應用。

模擬點擊的代碼

一家中國廣告公司,如何利用惡意軟件感染全球 8500 萬臺手機

整套HummingBad包含好幾個惡意組件。首要的組件名為SSP,其作用是顯示非法廣告、安裝欺詐應用。該組件通過4個事件觸發:設備啟動、屏幕開啟/關閉、設備連接任意變化、用戶檢測(聽說過Android系統中的Receiver嗎?這類行為其實是完全合法的)。

觸發過后,SSP開啟名為Se的服務,初始化惡意邏輯,并且開啟廣告網絡。SSP還會開啟計時器,每10秒鐘計劃一次LockTask,如果滿足相應條件(比如互聯網連接、從服務器獲取到設置,時間延遲等),LockTask就會重啟Se服務,并且啟動MainActivity進程,激活惡意payload。

MainActivity進程開始之后,惡意程序會顯示廣告banner,廣告上面會有個關閉按鈕。實際上惡意程序會阻止用戶回到Home頁,或者是進行返回操作,這樣用戶就只能點擊該廣告了。用戶點擊所謂的“關閉”按鈕,實際上也是點擊一次廣告操作。在點擊廣告之后,SSP組件就會向服務器發出請求,給APK返回一個鏈接,SSP隨后再從服務器下載該APK文件(就是Android安裝文件嘛)。

那個“關閉”按鈕相關代碼

一家中國廣告公司,如何利用惡意軟件感染全球 8500 萬臺手機

APK文件下載完成后,惡意應用會檢查設備是否已經Root。如果已經Root,則默默地安裝下載的APK文件;如果沒有Root的話,SSP會彈出用戶對話框,仍舊企圖進行安裝操作。

下載的APK文件安裝完成后,SSP再啟動該程序,并且廣播INSTALL_BEFERRER,通過從服務器獲取到的信息來偽造Google Play的安裝,并從廣告網絡中獲取廣告收益(難道這不是僅針對國際用戶的么?)。

作為一個合格的惡意程序,肯定還要獲取更新、發回報告。SSP會從某JSON文件檢索C&C域名。這里的JSON文件是從d1qxrv0ap6yf2e.cloudfront[.]net/domain/xxx.json 下載的,值大概是這樣的:

? {"id":3,"name":"CAP","master":"032o[.]com","slave":"032n[.]com"}
? {"id":4,"name":"SSP&CCSDK","master":"guangbom[.]com","slave":"ssppsspp[.]com"}
? {"id":5,"name":"asdf","master":"asdf","slave":"asdf"} //I think
? {"id":6,"name":"efwe","master":"gwsgs","slave":"dgss"}//it's unused
? {"id":7,"name":"1","master":"1","slave":"1"} //and this
? {"id":8,"name":"CAP-DW","master":"ccaa100[.]com","slave":"ccaa200[.]com"}
? {"id":9,"name":"SSP-DW","master":"cscs100[.]com","slave":"cscs200[.]com"}
? {"id":11,"name":"HM-JK","master":"hmapi[.]com","slave":"eoapi[.]com"}
? {"id":12,"name":"易盟-易窗","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
? {"id":13,"name":"易盟-易推","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
? {"id":14,"name":"易盟-啟彈","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
? {"id":15,"name":"iadpush","master":"ma2.lb0408[.]com","slave":"sl2.lb0408[.]com"}
? {"id":16,"name":"1mob-fudian","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}
? {"id":17,"name":"QS","master":"aa0ad[.]com","slave":"aa0ab[.]com"}
? {"id":18,"name":"1mob-xin(點滴/BDSDK ","master":"ma2.heshan88[.]com","slave":"sl2.heshan88[.]com"}

除此之外,SSP還有一些行為,比如具體的Google Play進程注入(SSP能夠向Google Play進程注入一個庫,惡意程序也就能夠偽裝Google Play商店中安裝、購買、接受點擊操作;這里用到的是比較知名的ptrace,SSP能夠用ptrace來調用控制其他應用,讀取、寫入內存等操作);還有RightCore惡意組件,其實應該算是SSP的一個早期版本;CAP組件采用比較復雜的技術負責安裝欺詐應用,實現欺騙IMEI碼注入,執行Google Play的點擊模擬操作等等。

對這些感興趣的同學可以點擊這里,查看Check Point提供的詳情。

在Check Point看來,微贏互動可能是首個曝光到大眾面前、如此高度組織化推惡意程序的團隊?;蛟S這種趨勢未來還會持續,引來其他團隊的學習,實現復雜攻擊的獨立化運營。甚至將這樣掌控僵尸網絡的權限,提供給某些組織或政府機關,情況就更加復雜了。

本文系作者授權數英發表,內容為作者獨立觀點,不代表數英立場。
轉載請在文章開頭和結尾顯眼處標注:作者、出處和鏈接。不按規范轉載侵權必究。
本文系作者授權數英發表,內容為作者獨立觀點,不代表數英立場。
未經授權嚴禁轉載,授權事宜請聯系作者本人,侵權必究。
本內容為作者獨立觀點,不代表數英立場。
本文禁止轉載,侵權必究。
本文系數英原創,未經允許不得轉載。
授權事宜請至數英微信公眾號(ID: digitaling) 后臺授權,侵權必究。

    評論

    文明發言,無意義評論將很快被刪除,異常行為可能被禁言
    DIGITALING
    登錄后參與評論

    評論

    文明發言,無意義評論將很快被刪除,異常行為可能被禁言
    800

    推薦評論

    暫無評論哦,快來評論一下吧!

    全部評論(0條)

    打開數英App
    進入【我的】右上角掃一掃登錄

    掃碼登錄
    • 密碼登錄
    • 驗證碼登錄
    新注冊
    錯誤提示
    忘記密碼
    錯誤提示
    錯誤提示
    獲取驗證碼
    錯誤提示

    其他登錄

    • 企業用戶名密碼
    錯誤提示
    忘記密碼
    錯誤提示

     

    沒有數英企業賬號? 申請企業賬號

    選擇收藏夾

      您目前還沒有創建收藏夾,快來創建吧
      新建收藏夾

      建議封面尺寸為400x400像素,

      僅支持JPG/PNG靜態圖片

      收藏成功
      我的收藏夾關閉
      主站蜘蛛池模板: 陆川县| 新余市| 阿克陶县| 武冈市| 东乌珠穆沁旗| 龙里县| 呼玛县| 平定县| 家居| 东兴市| 黎川县| 罗源县| 扎兰屯市| 桂平市| 车险| 错那县| 阿荣旗| 台安县| 曲阜市| 包头市| 逊克县| 孝感市| 西畴县| 和田市| 嘉义市| 迭部县| 竹北市| 浠水县| 香河县| 江华| 封开县| 青州市| 平凉市| 广南县| 桦南县| 高青县| 许昌县| 连平县| 阿瓦提县| 通许县| 孟津县|