一， 事件起因

根据德国安全厂商GDATA放出的2015年Q2移动恶意病毒报告 [1]中指出：市场上至少有26款的Android手机在卖给消费者时藏有恶意程式，受害的不乏知名品牌，包括小米3（Xiaomi MI3）、华为的Huawei G510、联想的Lenovo S860、Android P8、ConCorde SmartPhone6500、中国的阿尔卑斯（Alps）等，这些手机品牌主要销售地区在亚洲和欧洲。据介绍，这类间谍软件主要伪装在Facebook和谷歌等流行的安卓应用程序驱动中。用户手机在没有解锁的情况下，是无法删除这些应用的。

图1 受影响的手机型号

二， 病毒样本分析

在发生此次事件后，我们第一时间联系了GDATA公司，并拿到了预装在手机中的恶意病毒样本进行分析。

样本一: 脸书武器刀 (facebookKatana)

包名：com.facebook.katana

MD5： 334f0a9811034dd226289aa84d202e60

SHA1： ac8d71fc4ec99b3cb9d758451048fc3d44dda62e

这个样本对facebook 1.8.4版本的apk进行了重打包。在facebook的apk中加入了“com.facebook.tuubo”这个恶意广告包。

图2脸书武器刀的界面

图3脸书武器刀的恶意广告包

同时这个病毒样本在原本应用的权限上又申请了大量的高危权限。

图4脸书武器刀额外申请的权限

这个病毒样本的行为如下：

* 连接 s.fsptogo.com 和 s.kavgo.com 服务器获取命令

* 静默下载和安装

* 获取机器UDID

* 浏览器历史记录

* 获取logcat调试信息

通过分析apk的开发者证书我们发现，该的开发者属于Elink公司，这个公司号称是开发MTK平板电脑的，不过公司的主页做的非常不专业，感觉只是为了用来伪装。

图5 Elink公司首页

样本二：伪推特下载器 (FakeTwitter.Downloader)

包名：com.twiter.android (注意：比正常应用com.twitter.android少了一个t)

MD5： e82ac31cb3771e07c572d526f075bbf4

SHA1： 808dabf5969f76a130901f20091abe85a30f6387

这个病毒样本对twitter的apk进行了重打包。在twitter的apk中加入了“com.twitter.MyReceiver”，“com.twitter.MyService”，“com.twitter.NotifyActivity”等恶意广告组件。

图6伪推特下载器的界面

图7 伪推特下载器的恶意广告组件

同时这个病毒样本在原本应用的权限上又申请了大量的高危权限。

图8 伪推特下载器额外申请的权限

这个病毒样本的行为如下：

* 连接 91hao.com服务器（分析时服务器已经下线）获取命令

* 静默下载和安装

* 获取机器UDID

图9 伪推特下载器在服务器上静默下载应用

样本三：悠悠村市场 (uucunPlay)

包名：com.uucun4470.android.cms

MD5： e7d6fef2f1b23cf39a49771eb277e697

SHA1： f5735dc4d9502f99d3b62c49ef083b403d627124

该病毒样本首先申请了大量高危权限（安装应用，发送短信等），随后伪装成Google Play应用安装隐藏在系统目录中。因为在“/system/app/”路径下的是默认拥有system权限的，所以该病毒样本可以在用户不知情的情况下在后台下载并安装应用到手机当中。

图10悠悠村市场申请的权限

 

图11悠悠村市场的应用信息(伪装成Google Play)

图12悠悠村市场的界面(伪装成Google Play)

 

悠悠村市场静默安装其他apk文件的方法在“com.uucun.android.j”中，恶意样本会现检测当前是否有安装其他应用的权限：

随后悠悠村市场会调用静默安装的API进行apk的安装:

根据动态分析，该病毒样本会到这些apk市场上下载应用：

http://apk.hiapk.com

http://agoldcomm.plat96.com

另外，病毒样本还会将搜集到的手机信息上传到这些服务器。

http://cloud6.devopenserv.com

http://pus7.devopenserv.com

http://log6.devopenserv.com

通过whois.com查询发现是上海的一家叫悠悠村的公司的服务器。

 

图13 devopenserv.com的whois信息

 

图14 UUCUN的网站

 

根据介绍UUCUN是国内首家&最大AppStore解决方案商（优拓解决方案），成功帮助超过300家手机厂商、方案商、手机卖场以及第三方ROM提供AppStore解决方案。同时，也是国内最大的无线广告平台，平台聚集1000家广告主、5万家开发者。

其中提到了为第三方ROM提供AppStore解决方案。难道所谓的解决方案就是将病毒伪装成Google Play，然后预装在手机中伪装成Google官方进行软件推广或者在后台进行静默安装？

 

三，事件分析

 

经过对样本的分析以及调查后，我们可以得出结论： 手机中预装病毒确有其事，但GDATA公司的报告有些过于夸大事实了。首先这些病毒样本并不是在小米、华为和联想等厂商出厂时安装的，而是在销售的过程中，被经销商预装了病毒或刷入了带有病毒的固件。其次，这些病毒的主要目的是为了进行软件推广，并不会过分的收集用户隐私，所以中毒的用户不用太担心类似iCloud照片门事件的发生。

图15 通过ROM传播病毒的流程

图16 央视新闻对手机预装病毒的报道

另外，在手机中预装病毒的案例这并不是第一个，比如说Lookout曾经报道过jSMSHider病毒，就是一种预装在手机ROM中的恶意短信扣费病毒[2]。在学术界也有预装病毒方面的研究[3]。但随着国家政策对短信扣费类的服务严加管制，地下产业链已经将主流手机病毒转型为恶意软件推广类病毒了。因为随着移动互联网的兴起，软件推广业务已经变成一块人人都想抢的蛋糕，推广者（黑客）只要能做到一个下载安装运行就可以获取5-20元不等的软件推广费，这也就是为什么恶意推广病毒会这么流行的原因。

四，对消费者的建议

 

为了避免中毒，消费者应该在正规的官方渠道购买手机，不应该贪图便宜而在不安全的小商场购买。如果不放心自己的手机是否中毒，可以下载手机安全应用（比如阿里钱盾等）进行安全扫描，如发现恶意病毒应立刻进行卸载。

图17 钱盾查杀界面

五，参考文献

 

1.  GDATA 2015年Q2移动恶意病毒报告https://public.gdatasoftware.com/Presse/Publikationen/Malware_Reports/G_DATA_MobileMWR_Q2_2015_US.pdf

2.  Security Alert: Malware Found Targeting Custom ROMs (jSMSHider) https://blog.lookout.com/blog/2011/06/15/security-alert-malware-found-targeting-custom-roms-jsmshider/

3.  Min Zheng, Mingshen Sun, John C. S. Lui. "DroidRay: A Security Evaluation System for Customized Android Firmwares", ASIACCS 2014

本文来自合作伙伴“阿里聚安全”.