導讀:生物學上病毒侵入的細胞就叫宿主細胞,而病毒則藉助宿主的蛋白質和其他物質製造自己的身體,由於控制細胞增殖的結構基因發生突變,調節系統對它失去控制,結果就會造成細胞無限的增殖。生物學病毒侵入細胞的過程是吸附—植入—複製—分裂—然後不停的複製,那麼互聯網上的病毒又是如何進行侵入和增殖傳播的呢?
一、偽裝與傳播概述
近期,暗影實驗室在移動終端上發現一款病毒軟件,初看之下是一款老生常談的QQ盜號軟件,通過輸入要獲得密碼的QQ號,一鍵進行密碼盜取。但經過安全人員的分析,發現它是醉翁之意不在酒,表面是QQ盜號,其實際是進行第三方病毒的傳播與推廣,其傳播方式是幾何級的增長,類似生物學上癌變細胞的增殖,我們稱之為“宿主”。
二、宿主與病毒的增殖公式
此款“宿主”軟件,它最大的特點在於其推廣擴散速度,造成的影響也是十分惡劣。經研究,我們對其推廣的流程做出詳細分析和演算設定基數的推算公式。
三、宿主解剖
“宿主”軟件的分析,可以從兩個方面入手,一是其偽裝成QQ盜號的軟件,欺騙用戶使用和分享,具有誘騙欺詐行為;二是其利用色情信息誘導用戶下載病毒軟件,進入傳播QQ群,具有流氓行為。自監測到此“宿主”軟件至今,它已有多個病毒變種,以下分析以原病毒為主,變種病毒為輔助補充。
3.1 撕下QQ盜號的面紗
該軟件利用有不正之心的人的心理,使用多種手段,偽裝成QQ盜號軟件,通過誘導和欺騙的方式使用戶下載和推廣病毒軟件,以下對其如何進行誘騙欺詐從軟件交互和代碼實現雙管齊下進行解析。
圖3-1 首頁提示
為了打消用戶的顧慮,獲取用戶的信任,使用欺騙手段,利用技術製造隨機生成的隱匿扣扣號破解成功的輪播消息。虛假輪播破解成功消息的軟件交互界面和實現源碼,如圖3-2、圖3-3所示:
圖3-2虛假輪播破解成功消息的軟件交互界面
圖3-3虛假輪播破解成功消息的實現源碼
隨後我們使用測試號試用一下,會發現在進度日誌框中,正在“加載騰訊QQ漏洞封包模塊”、“加載騰訊QQ密碼破解腳本”、“檢測騰訊QQ服務器端口”……,那麼是否真的如它所說,在執行這些操作呢,我們進入源碼一探,發現這其實也是一種誘詐欺騙。虛假操作日誌軟件交互界面和實現源碼,如圖3-3、圖3-4所示:
圖3-3虛假操作日誌軟件交互界面
圖3-4虛假操作日誌實現源碼
接下來的事乍看之下更加令人震驚,如果不是一名技術人員,真的要被騙了,等密碼顯示已破解成功時,密碼為**********,雖然密碼看不到,但是我們的頭像已經赫然顯示了出來,懷著質疑的心理我們繼續扒代碼,結局也是無比震驚。它使用了某廠的獲取頭像的api接口http://**.***.**/headimg_dl,在此也希望為了用戶的隱私安全,能夠對其採取一定的安全防護措施。獲取QQ頭像的軟件交互界面和實現源碼,如圖3-5、圖3-6所示:
圖3-5獲取QQ頭像的軟件交互界面
圖3-6獲取QQ頭像的實現源碼
在顯示破解成功之後,為了進一步獲取用戶的信任,軟件假意嘗試登錄QQ,用戶看來,它會打開QQ,進行登錄操作,發現真的提示登錄成功了。作為技術人員的我依舊不信,來到源碼中,我發現所為的打開扣扣登錄,不過是加載提前準備好的QQ登錄界面為背景,將你要破解的QQ顯示在上面,為了大家一眼看破它的騙術,這裡將手機的開發者選項中顯示佈局邊界模式打開。QQ登錄界面和應用資源文件,如圖3-7所示:
圖3-7 QQ登錄界面和應用資源文件
3.2 宿主的增殖
該“宿主”軟件,其真實目的是在於傳播病毒軟件,雖然偽裝成QQ盜號,測試登錄成功,但用戶是不可能看到QQ內部信息的,上面也說過了。當你真的相信它能夠獲取QQ密碼之後,它就開始了自己的計劃。先後通過誘導用戶QQ群分享,下載安裝色情軟件,之後進行QQ群內分發等進行著“宿主”和病毒軟件的爆炸式增殖。
首先,提示密碼獲取成功之後,用戶看到的是*字符,軟件提示用戶,如果需要獲取密碼,則必須分享信息到10個不同的QQ群,誘導分享的軟件交互界面,如圖3-8所示:
圖3-8誘導分享的軟件交互界面
我們嘗試進行分享,分享的信息中不是此軟件的使用信息,而是誘導用戶進入某個扣扣群的信息,在對源碼分析時,我們可以發現它的多個QQ群號碼。分享信息QQ群,如圖3-9所示:
圖3-9分享信息QQ群
在最新版的病毒源碼中,我們無法直接獲取分享推廣的QQ群,因為它從服務器動態的獲取,通過分析我們獲取到它的服務器地址是http://www.******.cn/j.txt,抓取協議包內容,得到分享信息QQ群,如圖3-10所示:
圖3-10 服務器分享QQ群信息
得到它大量的推廣QQ 群之後,我們偽裝成受騙用戶,加入群聊,看到它在不斷的誘導用戶分享和使用“宿主”軟件和病毒軟件,下面是病毒推廣QQ群602***462的共享群文件,如圖3-11所示:
圖3-11共享群文件
其次,除了上面誘導用戶獲取破解成功的QQ 密碼進行分享拉人進群,之後再進行傳播之外,“宿主”軟件本身也集成了動態的推廣下載功能,它使用色情信息為誘因,誘導用戶進行下載和使用病毒軟件,誘導用戶進行下載的偽裝色情信息軟件交互界面,如圖3-12所示:
圖3-12 偽裝色情信息軟件交互界面
經過研究和測試,發現用戶點擊下載之後,並不能時常如願,下載得到的病毒軟件可能是色情軟件,也可能是遊戲類軟件等,它的下載地址是動態的從服務器端獲取得到的,通過技術手段得到它的服務器地址是http://www.******.cn/1.txt和備用地址http://www.******.top/1.txt,獲取協議包的內容,可以獲取推廣病毒軟件的下載地址http://store.*****.com/apk/self/tytan0605111.apk,此病毒下載地址為動態的變化地址,一般根據響應體中的應用名變化,如圖3-13所示:
圖3-13 推廣病毒軟件的下載地址
四、推廣病毒查殺
在利益的驅使下,“宿主”軟件經過不斷的變型和更新,它推廣的病毒也在不斷的增加,從色情類到遊戲類,從色情推廣到私自發送短信訂製扣費業務,它的惡意也是不斷的傳播開來。在此,我們對其具有代表性的推廣病毒進行惡意行為研判和主要惡意行為的簡單分析。
我們分析一款名稱為“宅男福利社”的推廣軟件,經過研究人員研判,該軟件主要具有以下主要惡意行為。軟件運行後,請求發送短信,刪除短信,獲取聯繫人等權限,之後私自發送短信訂製扣費業務,具有惡意扣費屬性;軟件運行期間,監聽用戶短信,獲取用戶聯繫人和電話,具有隱私竊取屬性。
4.1 惡意扣費
軟件運行時,得到發送和刪除短信的權限後,開啟瘋狂發送訂購短信的模式,發送短信的交互界面與手機短信箱,如圖4-1所示:
圖4-1發送短信的交互界面與手機短信箱
之後我們通過抓取協議包,可以看到它的發送內容和主控地址http://***.***.***/index.php/API/UrlPlus/soid/8mh1gvqpckgnvsE8ptalAnEe,如圖4-2所示:
圖4-2 發送內容和主控地址
最後我們計入源碼,發現發送短信的地方很多,這裡我們取其中一處,如圖4-3所示:
圖4-3 發送短信
4.2 隱私竊取
軟件運行後,私自監聽用戶短信,獲取用戶設備信息和電話號碼。
Android中監聽用戶短信,一般需要申請權限—註冊廣播接收者—監聽解析短信內容,這裡我們只做簡單分析,從源碼中獲取到短信監聽的惡意代碼,如圖4-4所示:
圖4-4 短信監聽
獲取用戶設備信息和電話號碼,如圖4-5所示:
圖4-5獲取用戶設備信息和電話號碼
五、尋根問底
如果要做到病毒的下載推廣,信息的動態獲取,必定依賴於服務器,針對病毒軟件中的服務器地址和備用地址,我們對註冊域名者進行溯源追蹤,為了信息安全,我們對所有敏感信息進行了技術處理。“宿主”軟件中主要有兩個域名,分別是t******.cn和p***.top;推廣病毒服務器下載地址的域名主要是q******-***.com。下面我們對三個域名分別進行whois查詢。
域名t******.cn反查結果,如圖5-1所示:
圖5-1 t******.cn反查結果
域名p***.top反查結果,如圖5-2所示:
圖5-2 p***.top反查結果
域名q******-***.com反查結果,如圖5-3所示:
圖5-3 q******-***.com反查結果
六、安全建議
鑑於其爆炸式的傳播方式,用戶發現此類應用或疑似應用,應立即終止傳播並向安全檢測軟件進行舉報,以防更多用戶被騙。
建議用戶提高警覺性,使用軟件請到官網下載。到應用商店進行下載正版軟件,避免從論壇等下載軟件,可以有效的減少該類病毒的侵害。
安全需要做到防患於未然,用戶發現感染手機病毒軟件之後,可以向“12321網絡不良與垃圾信息舉報受理中心”或“中國反網絡病毒聯盟”進行舉報,使病毒軟件能夠第一時間被查殺和攔截。
閱讀更多 黑客迷 的文章
