恶意软件伪装“正规军”,撕开Booster Cleaner“画皮”下的真相
经常使用手机浏览器阅读小说的用户都知道,在浏览器页面经常会出现一些推广游戏应用、手机清理应用等应用的弹窗广告。有时出于方便,我们也会选择直接点开这些弹窗广告进行应用下载。但这种行为并不安全,部分恶意应用会先伪装成“正规军”诱导用户进行下载。一旦用户下载安装成功,该应用便大肆入侵用户手机,劫持浏览器进行仿冒应用的广告推送,甚至静默安装其它未知应用。
近期安天移动安全威胁情报分析团队就捕获了一例新的恶意应用“Booster Cleaner”。该恶意应用伪装得十分隐蔽,它表面看起来是一款“清理手机内存”的应用,与其他手机管理软件并无区别。实际上在后台,它会劫持浏览器弹出指定网页来进行广告推送,引诱用户安装仿冒应用,并且在用户毫不知情的情况下静默安装各种未知应用,给用户带来极大的隐私泄露风险和巨大的资费消耗。
Booster Cleaner 简介
Booster Cleaner基本信息
Booster Cleaner详细分析
恶意应用运行流程图
Booster Cleaner运行流程
Booster Cleaner是怎样一步步利用用户手机“胡作非为"的呢?简单来说,分为四步:劫持浏览器推送应用→私自提权解密→回传用户隐私→静默下载安装应用。
Step1:劫持浏览器推送应用
Booster Cleaner利用某广告服务器上传设备信息,返回指定的url来获取推送广告的配置信息,如下图所示:
恶意应用在后台持续监控用户手机顶层窗口应用包名,当包名匹配到预设的包名时,便向劫持浏览器界面推送广告,诱导用户下载未知应用,推送间隔时间为1小时。
据统计,目前很多常用的浏览器都被劫持了,具体如下表所示:
Step2:私自提权解密
当用户下载该应用后,该应用会通过Asysset.dex文件实现提权,该dex由asysup.so释放,具体步骤如下:
(1)下载aice文件解密解压释放子包和提权文件。
(2)通过解密png.ico释放提权工具和锁定文件工具,下图中r1—r4分别是四种root方案,利用了CVE-2012-6442、WooYun-2013-21778、CVE-2013-6282等漏洞来进行root提权。
(3)利用漏洞提权并执行脚本拷贝子包ice.apk到系统应用目录来提升子包权限。
Step3:回传用户隐私
提权成功后,该应用会将提权结果信息和隐私信息上传至指定位置,同时,也会上传安装应用列表信息。
具体来说,它会上传以下数据:
安装应用列表信息会上传至指定位置,具体如下图代码所示:
Step4:静默下载安装应用
子包ice.apk主要恶意行为是:向远程服务器获取未知应用下载地址,后台私自下载未知应用,静默安装。
解密数据保存在本地数据库,如下图:
后台通过查询数据库获取下载列表,下载推送的应用:
获取Root权限后,通过pm指令静默安装app:
通过分析,目前静默安装的应用多为仿冒应用,主要仿冒应用如下表所示:
Booster Cleaner 恶意代码详解
恶意代码植入模块结构如下图所示:
攻击者追溯
域名
该事件中涉及到了多个相关域名,通过在AVL Insight移动威胁情报平台上的分析,我们发现恶意应用涉及的多个域名注册者名称多为Simon。
(数据来源:AVL Insight移动威胁情报平台)
主要传播途径
Booster Cleaner主要在国外某些小型应用市场或者其他第三方应用市场传播,其中一些hash的来源地址如下:
1.add401.ufile.ucloud.com.cn/micfile/apk/6032bca0e75e4d149a6ec640221beb4e.apk
2.gt.rogsob.com/7/PhotoEditor012902.apk
3.silentdl.wenzhuotc.com/upload/app/apk/20160506163243/Flashlight03.apk
4. jpg.vademobi.com/apks/a03db38c-b0ff-4c01-8f43-51f8963d35f4.apk
感染量较大的包名以及应用名如表格所示:
感染用户分布
通过AVL Insight平台监控,截止到2016年10月19日,已有4989例受害者信息;最近一个月,共有281例受害者信息,感染用户地区分布如下:
(数据来源:AVL Insight移动威胁情报平台)
从图中可知,现阶段Booster Cleaner受害者多为国外用户,其中,以南亚和东南亚用户最多;从广告注册商方面来看,也是国外厂商,且广告商与应用存在密切的利益关系;从手法上来看,广告植入和运行手法都较为隐蔽,且进行了较为专业的加密处理,因此,很有可能是团伙作案。
虽然,从目前来看,受害范围都在国外,但这种运作模式在国内也很常见,因此不排除部分战略技术向国内转移的可能。
总结
BoosterCleaner 恶意应用伪装成正规的内存清理软件,诱导用户下载,当用户下载安装后,该应用开始运行并偷偷窃取用户隐私信息,同时通过劫持用户手机浏览器,不断地推送未知应用广告,激起用户的好奇心,诱导用户下载。不仅如此,Booster Cleaner还会在用户不知情的情况下,静默安装大量未知应用,持续地进行更深层次的恶意行为,手段隐蔽且成本较低,让人防不胜防。值得注意的是,该恶意应用与广告商之间存在密切的利益往来,且包含上传用户隐私、推送广告等常见的可获利恶意行为。联想最近国内发生的多起电信诈骗事件,事件中的受害者被不法分子利用个人隐私信息骗取信任,后续进行诈骗行为。该应用的恶意开发者后续也存在利用窃取的隐私信息对感染用户进行精准电信诈骗的潜在可能,给感染用户财产带来极大的安全隐患。
安全建议
针对 Booster Cleaner之类的恶意应用,安天移动安全威胁情报分析团队提醒您:
1. 请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;
2. 谨慎点击安装浏览器弹窗广告推送的应用,不安装来源不清楚的应用;
3. 不要轻易授权给不信任的软件Root权限;
4. 如果您已经中了类似病毒,建议您使用Root工具将设备进行Root,使用杀毒软件及时查杀病毒。查杀完成后,如您不再使用Root,请务必使用Root工具取消Root,避免Root权限被滥用带来的设备安全问题。
AVL Insight
安天移动安全专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案,并通过自主研发推出全球首个综合性移动威胁情报平台——AVL Insight。
AVL Insight 移动威胁情报平台主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供应对移动威胁的预警和处置策略,为客户移动终端安全保驾护航。
更多技术文章,请关注AVL Team官方微信号
更多移动威胁情报平台信息
请关注AVL Insight官方微信号
转载于:https://www.cnblogs.com/avlyun/p/5993208.html
恶意软件伪装“正规军”,撕开Booster Cleaner“画皮”下的真相相关推荐
- 恶意软件伪装成PDF传播、新冠病毒变种成钓鱼攻击诱饵|12月3日全球网络安全热点
安全资讯报告 Emotet现在通过伪造的Adobe Windows应用安装程序包进行传播 Emotet恶意软件现在通过伪装成Adobe PDF软件的恶意Windows应用安装程序包进行分发. Emot ...
- 上海宝付支付乱扣款?揭开黑幕下的真相
上海宝付支付乱扣款?揭开黑幕下的真相 上海宝付支付乱扣,宝付支付随意扣款,宝付支付无缘无故扣款,类似于这种标题的信息在网上屡见不鲜,为什么宝付会乱扣款呢?难道金融支付行业的安全性就这么差吗?带着这些疑 ...
- 恶意软件伪装成系统更新,通杀Win Mac Linux三大系统,隐藏半年才被发现
晓查 发自 凹非寺 量子位 | 公众号 QbitAI 能同时攻击Windows.Mac.Linux三大操作系统的恶意软件出现了. 虽然"全平台通杀"病毒并不常见,但是安全公司Int ...
- 渡鸦创始人离职百度后的下一个“真相”
参加 2019 Python开发者日,请扫码咨询 ↑↑↑ 作者 | 琥珀 出品 | AI科技大本营(ID:rgznai100) 一直以来,渡鸦科技被外界看做是百度一次失败的收购.彼时彼刻,国内外智能音 ...
- 探测电磁波就能揪出恶意软件,网友:搁这给电脑把脉呢?
博雯 萧箫 发自 凹非寺 量子位 | 公众号 QbitAI 不安装任何杀毒软件,"悬丝诊脉"也能揪出计算机病毒? 而且准确率达99.82%,杀毒软件看了都汗颜. 先请出我们的&qu ...
- 八爪鱼 是java做的吗_章鱼扫描仪:Java构建工具和恶意软件
八爪鱼 是java做的吗 Alvaro Munoz最近在GitHub Security Lab网站上发布了" Octopus扫描程序恶意软件:攻击开源供应链 ". 我发现这篇文章很 ...
- 章鱼扫描仪:Java构建工具和恶意软件
Alvaro Munoz最近在GitHub Security Lab网站上发布了" Octopus扫描程序恶意软件:攻击开源供应链 ". 我发现这篇文章很有趣,原因有很多,其中包括 ...
- Android设备新型恶意软件,融合银行木马、键盘记录器和移动勒索软件等功能
2019独角兽企业重金招聘Python工程师标准>>> 网络犯罪分子目前正在开发一种针对Android设备的新型恶意软件,它融合了银行木马.键盘记录器和移动勒索软件的功能. 根据来自 ...
- Pokemon Go玩家或成为下一个网络攻击对象 赛门铁克揭示潜在安全威胁
Pokemon Go (口袋妖怪 Go)在全球引发了一场抓捕小精灵的热潮,尽管只在部分地区发布,但这款游戏却在不到一周的时间内获得了超过百万次的安装量.Pokemon Go的火爆现象同时也吸引了网络罪 ...
最新文章
- 《擦屁股先生》词:你挚爱的强哥
- Linux下新增硬盘处理过程
- 栈与队列10——可见的山峰对数量
- 成人高考大学计算机基础答案,江苏省2019年成人高考大学计算机基础统考样卷...
- elementPlus关闭弹窗,页面原先滚动条消失
- mesh 协调器 路由器_关于Mesh网络中,协调器和路由器之间的几个问题?
- Hive的UDF概念
- matlab机液位置伺服系统,基于MATLAB的电液位置伺服系统仿真分析
- JSP — 项目篇《I》【打印九九乘法表】
- UI自动化学习过程get的知识点
- 数字通信原理_推荐 | 从飞鸽传书到数字信号,你不得不懂的通信原理
- 【人工智能 一种现代方法】搜索-复习
- 计算机固态硬盘与机械硬盘的区别是什么,电脑固态硬盘与机械硬盘的区别是什么,应该如何选择...
- 录游戏用什么软件,录制游戏视频哪个软件好
- 腾讯360再较量 谁是反垄断巨头
- Java使用PDFBox将多个PDF合并为单个PDF
- 福利来了 | 开发者社区布道师计划,奖品丰厚
- m蜂窝移动通信系统中越区切换的matlab仿真分析
- 【web-攻击用户】(9.4)跨域捕获数据——通过注入HTML捕获数据、注入CSS捕获数据、JavaScript劫持
- 【mysql进阶-彩蛋篇】深入理解顺序io和随机io(全网最详细篇)
热门文章
- java 唯一索引冲突_JPA merge联合唯一索引无效问题解决方案
- cuda版本查看_ubuntu安装CUDA
- php获取src,PHP读取文件
- 操作系统上机作业--实现mysys(多进程)
- CPU Cache对于并发编程的影响
- gprs 睡眠模式_GPRS的完整形式是什么?
- stl vector 函数_vector :: pop_back()函数以及C ++ STL中的示例
- Java StringBuilder subSequence()方法与示例
- ai人工智能在手机的应用_强化学习在人工智能中的应用
- kotlin 二进制_Kotlin程序检查数字是否为二进制