“中国”制造:悍马(Hummer)病毒家族技术分析报告
文章原创作者: 猎豹移动安全实验室
自2016年年初开始,猎豹移动安全实验室对印度top 10的手机样本进行了梳理,结果发现这些病毒样本存在家族关系,这些病毒样本均采用hummer系列域名为升级服务器,猎豹移动安全实验室将该病毒家族命名为“悍马(hummer)”。
悍马(Hummer)病毒全球日活119万
据猎豹移动安全实验室监测数据,2016年1-6月,悍马(Hummer)病毒的平均日活119万,超过其他所有手机病毒的感染数据,悍马病毒已成世界排名第一的手机病毒。
悍马(hummer)手机病毒已遍布全球,印度、印尼、土耳其位居前三,中国居第4。
印度是悍马病毒感染量最高的国家,在印度肆虐的十大手机病毒中,第2、3名是悍马病毒家族成员,第6名是悍马病毒推广安装的其他病毒。
悍马病毒最早的样本在2014年即被发现,2015年7月后,该病毒的感染量明显上升。2016年该病毒的平均日活119万,峰值超过140万。
悍马病毒样本变种数在2016年4-5月份达到高峰,和该病毒在全球的感染量增长基本吻合。
“悍马(hummer)”病毒家族的发现
除部分风险应用外,其中标红为本文讨论的家族,该病毒会root用户手机,静默安装其他病毒以及推广安装大量应用。
看似一款普通的应用,但是安装后手机就重启。然后屏幕满满的广告,系统被安装大量同类变种、推广应用、 以及其他病毒。就像这样
中毒用户将手机恢复出厂设置并不能解决问题,因为病毒已经获得ROOT权限,system分区已被修改,“悍马”病毒的多个变种已植入手机ROM内。
这种被深深植入rom的病毒,普通的恢复出厂设置,以及进入recovery系统wipe data(安卓用户熟悉的手机双清)都无法清除。
悍马病毒在手机上的运行方式
悍马病毒使用了私有壳
实际主体在stream.png的文件里
在这个png 实际上是一个加密后的 elf 被载入后释放一个zip
该应用的代码实际隐藏在这个zip里面
脱壳后的,其资源文件还有两个elf两个apk
首先,悍马病毒运行后会释放该模块root手机,并且会根据不同的机型使用不同的解决方案。
如果该文件不存在或者损坏,他还可以联网更新
病毒会根据不同的运营商来判断使用哪个模块。right_core是一个500k的zip包。
right_core包含一个root sdk,root手机之后下载更多的子包与以上guangbom等url路径为/getSSPDownUrl.do?cid=的apk并安装。
另外如果root成功,则将之前包里的erwuba这个apk解密并安装到system下,如果root失败则频繁弹出安装窗口,强迫用户安装。该apk安装无图标,作用类似主apk,为病毒的备份,防止原先病毒app被卸载。
接下来就会疯狂弹出各种广告:
根据最新版发现,“悍马”病毒最新变种内置多达18种root方案,基本涵盖Android 5以及更早的系统版本。
等root完手机之后,“悍马”病毒变种会以如下方式与广告服务器通讯,进而静默安装其他应用,前台频繁展示,或者后台点击厂商广告。
受害广告厂商
我们在一台测试机安装悍马病毒APP,做了几个小时的网络抓包,发现其在短短的几小时内,访问网络链接数万次。消耗网络流量达2GB,下载apk超200个。发现受影响的广告厂商如下:
追踪
猎豹移动安全实验室对悍马病毒的历史进行溯源,发现该病毒家族很早就有发现,变种依然十分活跃。
也有其他国外安全厂商有过分析报道: Checkpoint
这是一个什么样的病毒组织呢?
猎豹移动安全实验室追踪到病毒常用域名更新接口如下:
http://d1qxrv0ap6yf2e.cloudfront.net/domain/3.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/4.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/5.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/6.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/7.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/8.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/9.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/11.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/12.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/13.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/14.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/15.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/16.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/17.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/18.json
http://d1qxrv0ap6yf2e.cloudfront.net/domain/19.json
对应内容如图
其中root相关的为 9.json 目前其内容如下
{"id":9,"name":"SSP-DW","master":"cscs100.com","slave":"cscs200.com"}这些域名除了写在代码里,还有通过以上url获得收集到的提供病毒更新的域名如下
guangbom.com
ssppsspp.com
cscs100.com
cscs200.com
ccaa100.com
ccaa200.com
使用后缀均为getSSPDownUrl,但是链接返回的apk不固定。其中猜测几个cid作用如下
117 124—-Root工具
112 115 118 120 121 126 127 —- 恶意推广com.android.systemUl
129 025 —- 恶意推广com.android.updater
这些网址仍然活跃
这些链接基本都会跳转到以下两个aws域名,这两个域名下,散布了大量病毒(virustotal截图)
另一个系列更新链接如下
http://fget.aa0ab.com:10010/c/
http://manage.hummerlauncher.com:10010/c/
http://fget.haoyiapi.com:10010/c/
http://fget.aa0ab.com:10010/c/
以上涉及的域名中,明确提供病毒下载与更新的域名如下
guangbom.com
ssppsspp.com
cscs100.com
cscs200.com
ccaa100.com
ccaa200.com
manage.hummerlauncher.com
aa0ab.com
haoyiapi.com
虽然大部分域名whois信息已经被隐藏,部分域名的whois已经更新,但我们仍然获取到如下信息
‘
域名的whois信息中,有两个貌似是商业广告公司的网站 hummermobi、hummeroffers ,其中的一个网站还写有公司地址。简单搜索,发现这两个域名属于上海昂真科技有限公司,该公司为北京微赢互动科技有限公司在上海的全资子公司。
使用搜索引擎,发现上海昂真科技有限公司重庆分公司的法人代表为“陈阳”,也是两个病毒更新域名的实际持有人。
域名Whois历史中涉及两个QQ邮箱追踪如下:
其邮箱对应的微博指向了iadpush的员工。根据上市公司公开资料,iadpush是微赢互动旗下的子公司。
然而更意外的是:该病毒组织员工安全意识薄弱,竟然把密码公开放到代码托管网站SourceForge.net上(完整URL: https://sourceforge.net/p/xiu8/svn/HEAD/tree/doc/iad/ )
注:SourceForge 是全球最大开源软件开发平台和仓库,是为开源软件提供一个存储、协作和发布的平台。
猎豹移动的安全研究人员在其泄露的内部文档中发现,他们的后台网址竟然就是病毒的更新网址,已泄露的文档相当详尽。虽然数据稍显陈旧,但仍有参考价值。
猎豹移动追踪到与McVivi_Vip相关的某网盘,其中有大量关于微赢互动公司制作恶意程序的内部文档。
里面还有他们的工作规划,招聘岗位说明……
悍马病毒功能相关域名关系图
*文章原创作者: 猎豹移动安全实验室,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
正文到此结束
热门推荐
相关文章
Loading...
![[HBLOG]公众号](http://www.liuhaihua.cn/img/qrcode_gzh.jpg)
