• 熱門專題

擁有300萬安裝量的應用是如何惡意推廣刷榜的||-南京江宁金盛路?

作者_-2015快递什么时候放假:阿裏聚安全  發布日期-|2m彩票网址:2016-07-12 21:13:16
Tag標簽|_优衣库事件视频:萬安  惡意  
  • 背景-_盈彩网是真的吗:

    隨著移動端應用市場數量爆炸式增長||旁蒂克车标,App推廣和曝光率也越來越難|||3a录取查询。哪裏有需求哪裏就有生財之道-_临沂大学数字化校园,自然-_|106cc彩票21011版本,App刷榜也就形成了一條產業鏈|||柳州音乐网,它能夠在短期內大幅提高下載量和用戶量|-|蛇肉价格,進而提高應用的曝光率|_-辽宁都市频道。


    近期_盈彩彩票怎么注册,阿裏移動安全發現一款名叫“魔百Wi-Fi”應用--众购彩票导航网,該應用官方的一個版本捆綁了多個病毒|_-142期富婆看图肖特,目的是對GooglePlay商店應用刷榜和刷大量未知應用安裝量_|108彩票娱乐平台骗局。該病毒在該設備鎖屏時對設備root|_|金陵女神,root成功後向係統目錄植入“刷榜僵屍”病毒--斗战神入定修炼,“刷榜僵屍”對指定應用在GooglePlay商店上惡意刷量,同時還會誘騙用戶安裝“下載者”病毒--盈彩彩票可靠吗,“下載者”病毒會在設備屏幕亮起狀態會彈出廣告頁麵||真崎航gv资源,若用戶觸碰廣告頁麵推廣的應用將會自動安裝運行---强心脏20110823。該病毒技術相當成熟___2M全年彩图,root提權使用最高廣的漏洞(CVE-2014-3153 TOAWELROOT-呷浦呷浦官网、CVE-2015-3636 PINGPONG和PUTUSER等)-_-李驰博客,2015年10月之前的設備全部受影響_王琳娜博客。我們對惡意應用的證書對比_-芦苞祖庙,驚人的發現並非被重打包_|168彩票网站正规吗!


    “魔百Wi-Fi”在2015年末首次發布|-初中数学教案模板,向用戶打著安全Wi-Fi旗號_|注册华人平台,短短半年用戶安裝量已高達300萬_青山湖教体局。我們發現它具備專業的應用推廣團隊-_苏摩瑜伽,目前已在國內知名渠道發布多篇宣傳文章|_-camera什么意思,並與國內多家應用商店合作|英伦学院风男装,下圖是”魔百Wifi”前不久的一篇文章___众易彩票可靠吗?,文中還提到“截至目前,魔百WiFi擁有超過2億的國內外熱點_|_黄江小顺车行,已覆蓋商場|||北京矿业大学分数线、酒店|--广州华英雄手机店,熱點全線接入”|_-舒兰市地图。

    圖1

     

    “魔百Wifi”目前最新版本為2.3.18|__永盛娱乐平台靠谱吗。根據應用證書md5(5919ee638614c467152ab4d07c9cc2dc)排查|--维加网,發現版本2.3.5~2.3.10被官方插入了惡意代碼|卧槽路。值得注意的是-|才子骂小花2,官方發布的2.3.8版本打了兩個不同的包_|1213金鼎娱乐,一個增加root提權向係統目錄植入“刷榜僵屍”-_|杀人游戏 电影,另外一個包和2.3.10版本應用都捆綁了“下載者”病毒_优衣库视频完整版下载。捆綁了“刷榜僵屍”和“下載者”的“魔百Wifi”_|-静安区大火,利用自身的用戶量對應用刷榜和安裝_电子邮件号,進而非法牟利_-|快乐大本营小时代剧组。以下是對“魔百Wi-Fi”2.3.8帶root包的應用分析|||256平台彩票什么情况。

    一|-|19000彩票送彩金、主包分析-|-陈诚传:

    該病毒捆綁了多個子包___106福彩苹果下载,以下是各個模塊關係圖__|阜新苏阳:

     

    圖2

    1. 解密assets目錄下sdk.data|_东北二嫂水仙百度云、__image數據__情头一半一张,解密後sdk.data是一個目錄|-_徐娇个人资料,目錄下包括MainJson.txt---青岛华臣电影城、dexhostinjection.jar|-夏士莲防脱洗发水、libDaemonProcess.so, __image是apk文件-巴萨勒沃库森;

    2. 喚起PushDexService_--说句悄悄话、PushJobService完成dexhostinjection.jar加載-|北京市市委书记,以及執行dexhostinjection.jar的com.hostinjectiondex.external.ExternalInterfaces類的startExternalBody方法--|克隆空间下载,子包下載“下載者”病毒update__诸沁微,並誘導用戶安裝|_云顶娱乐现金版斗地主。

    3. 開啟後台服務利用libgodlikelib.so進行root提權-|盈彩网apP,提權成功將libgodlikelib.so提權工具庫寫入係統庫文件|--高效渗透剂;__image解密的apk文件植入係統目錄|leledy8,取名AndroidDaemonFrame.apk即是“刷榜僵屍”病毒|-_钟小江微博;

    二_|-038提现失败、root提權

    該樣本是基於開源的RUN_ROOT_SHELL改寫而成||林柏欣,可以對2015年10月份之前的全部設備root-科瑞计算簿注册码,主要利用了以下漏洞進行提權___毒刺行动:

    (1) CVE-2012-4220
    影響設備|郑浩南三级:Android2.3~4.2
    使用的QualcommInnovation Center(QuIC)Diagnostics內核模式驅動程序diagchar_core.c在實現上存在整數溢出漏洞,通過向diagchar_ioctl內傳遞特製的輸入,遠程攻擊者可利用此漏洞執行任意代碼或造成拒絕服務_||养热带鱼赚钱。


    (2) /dev/graphics/fb0
    fb0設備mmap漏洞(觸發參數FBIOGET_FSCREENINFO)


    (3) /dev/hdcp
    hdcp設備mmap漏洞


    (4) CVE-2013-6282
    影響版本-_|对开纸尺寸:linux kernel3.2.1|-_注册送18彩金apppk10、Linux kernel3.2.2|-甄画集、Linux kernel3.2.13
    Linux kernel對ARM上的get_user/put_user缺少訪問權限檢查---鹏程狗友,本地攻擊者可利用此漏洞讀寫內核內存_2020娱乐平台,獲取權限提升_|_王的第十七妾。


    (5) /dev/msm_acdb
    高通設備漏洞


    (6) CVE-2013-2595
    /dev/msm_camera/config0高通設備MMAP漏洞--亿发彩票软件。


    (7) CVE-2013-2094
    影響版本_-_陈亚辉:linux kernel3.8.9之前開啟了PERF_EVENT的設備
    利用該漏洞_-众赢彩票是福利彩票吗,通過perf_event_open係統調用___淘宝股票代码,本地用戶可以獲得係統的最高權限_-|小腻腻博客。


    (8) CVE-2015-3636
    影響設備_隋唐英雄王楚楚:2015年9月份之前的設備
    pingpong該漏洞是Linux kernel的ping套接字上存在的一個Use-After-Free漏洞_银沙湾。


    (9) CVE-2014-3153
    影響設備|__1分快3开奖结果查询:2014年6月以前的設備
    漏洞利用了futex_requeue-|-中国达人秀年度盛典、futex_lock_pi-11086移动彩票官网、futex_wait_requeue_pi三個函數存在的RELOCK漏洞和REQUEUE漏洞,造成了對內核棧上的數據修改_-|打歌器。


    對設備成功提權後|--柯达经典广告,會將解密的__image植入/system/priv-app目錄並命名為AndroidDaemonFrame.apk-cf卡墙教程,將libgodlikelib.so提權工具庫植入/system/lib目錄-_1990的开户彩票平台。下圖提權並向係統目錄植入惡意文件众博登录。

    圖3

     

    三-|众赢彩票登入、AndroidDaemonFrame.apk“刷榜僵屍”分析

    AndroidDaemonFrame應用是主包解密後植入到係統目錄的應用_|虞城县教育局,該應用是一款轉用於惡意刷榜的病毒_|11086移动彩票真假,利用用戶設備賬戶信息作為刷榜僵屍_-|重庆关海洋,完成對C&C控製端指定應用的惡意刷榜|||钳子先生的魔法龙虾盒。“刷榜僵屍”工作流程如下-|陆贞传奇48:

    圖4

    1.“刷榜僵屍”C&C控製端配置keywords和package_name_|_嘉和一品网上订餐。

    2.“刷榜僵屍”向googleplay發起認證_-|潮百搭女装2013,通過獲取的設備googleplay賬號和密碼-_-长春小浩博,或authtoken-|11选5彩票选号神器。

    3. 模擬googleplay協議對目標應用搜索---企业发展规划书范文、瀏覽和下載__盈彩网三分时时彩定位。

    刷榜僵屍病毒在設備啟動_||芮娜森黑钻全效面膜、屏幕解鎖和網絡改變觸發BootReceiver組件執行|_466耳鼻喉科,隨後啟動核心服務DispatcherService||_038彩票赌博,該服務創建updateTask和googlePlayTask定時任務__众发彩票违法吗。

    圖5

     

    定時任務googlePlayTask

    googlePlayTask每3小時執行一次-_众发娱乐app下载,對配置文件裏的keywords和package_name指定的應用從GooglePlay爬取--疥舒宁多少钱。下圖root提權重定向設備賬戶文件-_|天津热线adsl。

    圖6

    病毒通過GooglePlay驗證有兩種方式||-猪肉概念股,一使用authtoken-喜孕宝,全稱authentication token-_众发娱乐怎么进不去了,有了它病毒無須每次操作都向google服務器發送密碼, 執行語句-天星影院:sql.rawQuery('select type,authtoken from authtokens where type like 'com.android.vending%' and accounts_id='+ accounts_id, null)_笑刑大唐txt下载;二是獲取google賬戶name-众赢国际彩票有托吗、password和_id值-_038com彩票安全吗。執行語句|_李斯丹妮李茂:sql.rawQuery('select * from accounts where type = ?', new String []{'com.google'})-金健米业招聘。如下圖|||093彩票安全吗?。

    圖7

    成功與google play服務器連接後|--306定投,通過配置文件提供的keywords和package_name完成應用搜索__-青海西宁特产、瀏覽和下載

    圖8

    當前配置文件如下圖_-_alive死囚,發現病毒正在對package_name是com.felink.shine的應用刷量-__镇江舰。

    圖9

    病毒完全模擬google play下載協議-_-众发彩票计划群,包括設置cookie(AndroidId + authToken)-|-金融市场学张亦春、User-agent(AndroidDownloadManager)等|仙剑奇侠传5前传破解,GooglePlay應用下載請求流程大致如下圖(https://github.com/egirault/googleplay-api/issues/30)__-吉全手机论坛:

    圖10

    “刷榜僵屍”病毒的GooglePlayRequester工具類模擬了以上過程_龙炎电商,實現google play商店應用下載|-南华苑路55号。

    四___jindon京东、子包dexhostinjection.jar

    子包dexhostinjection.jar由assets目錄下sdk_data文件解密得到-腹黑师父吃掉呆徒弟H,完成了以下幾個功能__镇江郦荟:

    4.1 服務保活

    解析主包傳遞的000(m_pkgname)-||灰熊精英、001(m_class_name)_|仙剑5激活码破解、002(m_sdk_data)_普莱达手机官网、003(libDaemonProcess)-|_天国凤凰国语第二部、004(1.apk)參數|_125摩托车改装,利用libDaemonProcess庫服務保活-|2019年白小姐全年资料,在底層執行am startservice啟動主包傳遞的service,也就是主包中的com.hostinjectionmain.control.DexService|冰心原名。如下圖__股指期货模拟大赛。

    圖11

    4.2 下載“下載者”病毒

    主包004參數傳遞的應用名-_|东方热线网络测速,並拷貝到設備sdcard/database目錄命名為5supdate.apk|青岛爆燃事故责任处理意见,同時配置“下載者”病毒相關文件_-长春花卉批发,存放目錄在sdcard/database目錄下|_孝义广电传媒。包括actiondown記錄包名以及啟動服務名|__陈法蓉三级、actionsuk應用最近一次運行時間||注册红彩彩票要邀请码怎么办、install.ab服務器推廣應用安裝情況pes2014下载、mychannel應用渠道-|_云顶娱乐注册,這些文件數據全部都AES加密存放-_掌信彩。Actiondown記錄下載者病毒包名以及入口服務|-_电影天堂快车下载。

    actiondown:{'downLoadPackageName':'com.android.ucgmap','downLoadVersionKey':1,'downLoadStartMethod':'com.android.ucgmap/com.android.ucgmap.AimService”}

    4.3 誘騙用戶安裝_|优彩网是合法的吗,並啟動“下載者”病毒

    子包動態注冊監聽android.intent.action.PACKAGE_ADDED|寻找皇女的踪迹、android.intent.action.USER_PRESENT消息廣播|-重庆ume电影院。處理包安裝完畢消息__0165彩票真假,若此次安裝包名是actiondown裏downLoadPackageName字段記錄的“下載者”病毒_--唐山针灸减肥,讀取downLoadStartMethod字段啟動“下載者”|_威海卫生365。

    圖12

    使用兩種策略誘騙用戶安裝“下載者”病毒(其應用名為update)阿克苏诺贝尔 待遇,一默認模式以應用更新誘騙用戶點擊安裝--_汇家卡盟;二由服務器設置__现任国家领导人,彈出係統更新誘騙用戶點擊安裝||苏州化工医院。

    圖13

     4.4 子包自更新

    子包的連接並不是直接暴露的||_阿拉尔租房信息,而是做了兩層跳板-_|模拟人生类网页游戏。配置下一跳轉訪問地址http://dispatch.smartchoiceads.com/v2.1/2000|__安达舞子,參數設備aid_易彩堂和华彩网、imsi_二手军用吉普车、gaid-_|赢彩彩票多少才能提现、mac(wifi)|-重庆324医院,request和response數據全部AES加密__-异界之骨灰级玩家。服務端會根據上傳的設備信息返回次設備對應的url地址---雅虎台湾,隨後設備會使用該地址下載服務端推廣的應用-k165次列车时刻表。下圖訪問url_1(http://dispatch.smartchoiceads.com/v2.1/2000)返回加密的數據||苏果之家,經AES解密提取data值獲取當前設備的對應訪問的服務器地址url_2|--运盛娱乐app靠谱吗。

    圖14

    解密後的數據為_canster:{'upstream':'http://sdk.smartchoiceads.com'}_--迪丽热巴怀孕大肚照,這樣獲取了下一跳板的地址|_2号站彩票代理。 訪問跳板地址|_-11086移动彩票是正规的吗,下載_-众赢国际商城、加載和運行最新版子包|__临淄中学网。 訪問服務器配置的url_2-_坊组词,服務器同樣返回AES加密數據__高中生炒股赚4 5亿,解密後的數據如下_|_长春市艺术实验中学:

    {'solib_name':'libDaemonProcess.so','download_url':'http://u.smartchoiceads.com/sdk/HostDex_20160623163035.jar','classname':

    'com.hostinjectiondex.external.ExternalInterfaces','filename':'dexhostinjection.jar','start_method':

    'startExternalBody','solib_url':'http://u.smartchoiceads.com/sdk/libDaemonProcess_20160520175142.so','stop_method':

    'stopExternalBody','request_interval':'1800','version':'8'}|--诺基亚n73主题。

    根據解密獲取的字段||金范金素恩小说,下載新版本的dexhostinjection.jar包||078彩票苹果版,以及lib庫-_-易富娱乐彩票,目前服務器最新版本dexhostinjection_8.jar阿里旺旺2011官方下载。子包通過向主包的DexService發送com.injection.action.RELOAD_DEX消息意圖__中兴国际彩票客服电话,完成子包更新加載||n79论坛。

    圖15

    五-|28256手势舞教程慢慢的、“下載者”分析

    子包dexhostinject.jar下載的5supdate.apk存放位置在sdcard/database目錄下|__山东栾海燕,既是“下載者”病毒安裝包_-马向东,通過應用更新或係統更新誘騙用戶安裝|__1980返点平台,安裝後dexhostinject.jar啟動“下載者”導出服務AimService||爱财部落网。“下載者”病毒工作流程圖如下|||优发国际老虎机官网:

    圖16

     

    5.1 ChatActivity組件_|英玉,強製激活設備管理

    dexhostinject.jar啟動應用的參數會喚起ChatActivity組件運行-_|168彩票网会员。ChatActivity進行設備管理激活-互动作业在线网站使用,一旦用戶激活設備管理---众彩平台骗局,應用將很難被卸載_|山东淄博陶瓷展。用戶在取消截獲設備管理時---佛说大乘无量寿经,AdminReciver會進行鎖屏操作並跳轉到桌麵|-保定热线测速。

    圖17

     

    5.2 組件AimService

    1.加載target.jar子包_|_345彩票正规吗,保護“下載者”核心服務AimService不死

    2.啟動ApsService_-天津移动网站,組件ApsService是雲端推送服務-|-云南曲靖6户被杀,注冊時鍾廣播每10分鍾發送廣播轉交給ApsAdReceiver處理

    圖18

    3.onStartCommand處理消息意圖_|_钱塘江涨潮时间,包括--12306智行火车票安全吗:

        a)com.injection.action.RELOAD_DEX_|花都区教育局电话,更新target.jar子包_2019年3月澳门;

        b)com.injection.action.stopJobService_|-和讯基金净值,停止JobScheduler並進程自殺__搬运工包吃住8000月结;

        c)-a com.android.startadmin --es isadmin true|-补补补歌词,喚起ChatActivity組件_-|对开海报尺寸,進行激活設備管理-|金湖茶餐厅。該意圖消息是dexhostinject.jar發送給AimService的_|第一财经英强被刑拘。

    5.3“下載者”應用推送分析

    應用下載||-siro 1440、安裝和啟動由ApsService和ApsAdReceiver聯合完成|-|105彩票苹果版最新。當update應用處於後台運行|_永城彩票提现没有到账,並且屏幕處於亮起狀態_-_苏州园区三中,“下載者”向C&C服務器發起請求__-1990的彩票台子,下圖訪問C&C控製--苏州元祖门店。

    圖19

    “下載者”病毒會每隔10分鍾訪問http://www.gamecpi.com/tapcash/com.android.ucgmap/control.json-_160彩票App,返回數據結構如下|-淘小巧返利网。

    {
    
      'isOpened':true,
    
      'isOpenHideNativeAd':true,
    
      'fid':'',
    
      'fnid':'558734714274962_641985812616518',
    
      'aid':'ca-app-pub-2499265864844132/2514086206',
    
      'bnid':660078,
    
      'solaid':5011,
    
      'soltid':1000171,
    
      'ad_interval':10,
    
      'no_ad_start':0,
    
      'no_ad_end':6
    
    }

    該數據結構信息是當前推廣應用的信息|锡盟蒙中,隨後通過消息handler轉交給startAdWork函數處理-_约彩彩票什么时候开始。

    圖20

     

    每隔120分鍾請求控製端下載推廣應用-_家在远方 许鹤缤,http://www.gamescpa.com/SDKManager/cpa/downloadlink.php?country=cn&packageName=com.android.ucgmap|-|n81软件下载,C&C控製端返回推送的應用信息_相信自己 mp3,包括packgae(應用包名)_|-11选5彩神通手机版、url(應用下載鏈接)_蛋神奇踪第1部全集、size(應用大小)-|-花开淡墨痕19楼,返回數據轉交給消息handler處理||名书,進行應用下載安裝___春公图。

    圖21

    再配合之前注冊的時鍾廣播ApsAdReceiver|_臧天朔演唱会,完美完成推廣應用啟動-_|如何在淘宝网开店。

    圖22

     

    六|_|我们结婚了20130503、 病毒sha1:

          01b3e575791642278b7decf70f5783ecd638564d       5900fabbe36e71933b3c739ec62ba89ac15f5453       7ebdd80761813da708bad3325b098dac9fa6e4f5       ea781498268ced8dbb892d02aeaad23f4b87a510       44e81be6f7242be77582671d6a11de7e33d19aca       34b7b38ce1ccdd899ae14b15dd83241584cee32b       74a55e9ea67d5baf90c1ad231e02f6183195e564       4e5af777fe28f450a670e789b23fb3669dc6e6b6       d59f97297de38db7f85349c9486413e914ff35b5       b219db613284a3dd0e87edea67da744be59e7732       9b9109ecfa38d9664084a513392ffc3f41349f02       2b1da376212e63cb25a19900642c4bbca6e49c01       18d9546193a354aec0c76d141dd66fbf99181bad       63c20ee3c1e1b39921d2b3d86aade39de738ea9b       5d2a08d7c1f665ea3affa7f9607601ffae387e8b       70105591ea9f2b42534062278f31dbf9788575b3       34b7b38ce1ccdd899ae14b15dd83241584cee32b       78e9c7e0510b0c28abf28dd46910ab14c56ab4df       88745ecb3114fc0539ca05db388e1c77d3e76109       885fe0dca39d0fe281aad78cbce2fb73f27f3aea       50bdc0195ed3c6f9909e62d4926f26d312cc39fa

    七-|芳城园二区、總結

    該病毒應用通過版本更新-_易发彩票坑比,進行惡意版本下發__长发速递,在完成“刷榜僵屍”和“下載者”病毒後又利用版本更新替換成線上安全版本|_欢乐白领,如此在各大應用市場上期存活-|_上海通用aveo。阿裏移動安全同學建議|-保定二手摩托车58,用戶下載此類App請認準大廠商品牌應用;謹慎點擊軟件內的推送廣告_-计提福利费;來源不明的應用不要隨意點擊||阳光的意义歌词;請定期使用阿裏錢盾等手機安全軟件查殺病毒__7777小游戏。

    作者|-移动彩票是正规的吗:逆巴|__长春校服、如淩@阿裏聚安全|浦东科普网,更多技術文章||中博彩票系统,請訪問阿裏聚安全博客

延伸閱讀|_凤舞摩天麦词:

About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯係方式
本站內容來自於互聯網,僅供用於網絡技術學習,學習中請遵循相關法律法規
快乐赛车幸运蛋蛋快乐赛车快乐赛车金牌彩票通博彩票

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!