开启邀请码注册中,禁止灌水!发现一次永久禁言

墨客安全网

 找回密码
 立即注册

墨客安全网-新手入门指南 常见问题及帮助 | 做任务赚墨币币 新人报道 | 悬赏问答| 墨币充值| 帖子举报

墨客安全网-论坛精华合集 墨客安全网 -精华合集 之 速成之路 原创精品 | 加入墨客Vip | Vip工具| Vip教程

墨客安全网-进阶技术学习区 软件/工具| 社工专区 | 入侵检测| 技术文章 动画教程 | 编程交流| 免杀更新 | 程序源码

[悬赏公告] - 严查灌水,打造一个无水论坛,从即日起.请大家互相监督,发现恶意灌水的,请发贴举报,核实后会给予5-10的墨币奖励。
[官方公告] 从今日起所有会员发布工具必须到审核板块进行审核,如有违反永久禁言处理!
 [招聘招聘]-招聘各方面给力版主,要求每日发帖不少于3贴,每天在线时间6个小时以上,具体福利和待遇联系TG客服或者在线管理员
[官方公告]1.发现网盘下载地址失效!可以发贴举报 审核证实后给予奖励10-20墨币。2.即日起!不管是谁发贴!都不能带QQ群 已及个人QQ。个人网站,发现后严格处理。[官方业务]-加入墨客安全网Vip,圆你日抓千鸡梦,各种精品教程,免杀远控,压力测试等你拿,期待各位会员的加入,即可享受众多福利!
【官方公告】论坛所有广告均为商业行为,需要交易的请尽量走担保程序,所有因广告产生的任何纠纷请私下解决【站外广告】大量收色刷!刷单肉鸡!带飞机肉鸡!寻内网横向技术!懂的来,小白勿扰!长期包养色刷,刷单,带飞机海外盘国内盘灰产肉鸡稳定鸡商
联系飞机:@seeok91
【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服
查看: 250|回复: 0

[黑客新闻] DowginCw病毒家族解析

[复制链接]
  • TA的每日心情
    擦汗
    2018-6-7 07:22
  • 签到天数: 50 天

    连续签到: 2 天

    [LV.5]常住居民I

    13

    主题

    123

    回帖

    940

    积分

    UID
    11290
    威望
    253 (点)
    主题
    13 (帖)
    精华
    0 (帖)
    贡献
    14  (次)
    墨币
    289  (枚)
    活跃
    103  (点)
    担保币
    0  (枚)
    注册时间
    2017-12-12
    最后登录
    2018-6-7
    发表于 2017-12-22 15:51:27 | 显示全部楼层 |阅读模式
    作者:钱盾反诈实验室

    0x1.背景
    近期,钱盾反诈实验室通过钱盾恶意代码智能监测引擎感知并捕获一批恶意应用。由于该批病毒会联网加载“CWAPI”插件,故将其命名为“DowginCw”病毒家族。“DowginCw”通过插件形式集成到大量儿童游戏应用中,然后通过发布于各大应用商店或强制软件更新等手段,将恶意代码植入用户手机设备中,用户一旦运行,设备将不停下载、安装其他恶意应用,直接造成用户手机卡顿,话费资损,个人隐私泄漏等风险等。
    “DowginCw”能上架知名应用商店和长期驻留用户设备,是因为它使用了一套成熟的免杀技术,利用这套技术,免杀病毒可在杀软面前肆无忌惮地实施恶意行为而不被发现,其免杀技术手段包括:代码加固保护、插件化,以及代码延迟加载。

    0x2.影响范围
    相关数据表明,早在去年10月“DowginCw”病毒家族应用就上架应用商店。其中几款应用下载量甚至高达3千万,疑似存在刷榜,刷量和刷评分,来诱骗用户下载。
    目前,钱盾反诈实验室已拦截查杀“DowginCw”病毒家族2603款应用。下图近两月病毒感染设备次数已达93w,平均每日感染用户过万,共计感染87w用户设备。
    下表感染用户top10的应用。
    应用名包名感染量
    魔仙公主换装com.cocoplay.iceskater107543
    大球吃小球烧烤com.mahjong.sichuang39403
    魔仙公主装扮游戏com.colorme.game.gongzhuhuayuano28339
    巴拉拉公主蛋糕com.fcl.anaadwqra22798
    奇妙蛋糕屋游戏com.qiyou.kxct_MM19951
    小芭比公主游戏air.com.empiregames.fungirlgames14619
    公主化妆和换装com.cocoplay.ryenpncocoiceprincess_googleplay12940
    叶萝莉美甲师(免费版)com.fc.mhklmjslnad12249
    可爱公主医生小游戏com.andromo.dev249143.app23683412058
    丛林发型制作世界com.fancywing.s311697

    0x3.恶意样本分析
    对“DowginCw”病毒家族其中一样本分析。
    应用名:王子结婚换装小游戏
    包名:com.brainsterapps.google.katyinternational
    3.1主包解析:
    首先将主包脱壳,拿到加固前代码。下图主包功能模块。
    l   启动恶意代码;
    l   从云端获取恶意推广插件信息;
    l   加载执行恶意推广行为;
    l   监听应用安装、网络改变,进而调用子包,执行恶意行为;
    1.恶意代码是在入口activity的attachBaseContext被加载的,也就是应用一启动就会加载恶意代码块。为了躲避动态沙盒监测,恶意行为会延迟30s执行。
    2.访问http://mail[.]zbmcc.cn/s获取插件Json数据。数据如下,a:插件包下载地址;b:版本号;c:设备sd卡存放位置;d:恶意弹窗控制指令数据,函数call的参数。
    {       "a": "http://d2[.]chunfeifs[.]com/jfile/ter.jar",       "b": "5.0",       "c": "download/br/",       "d": "1=2,1;3=2;4=2,1;7=3,2,1,30;8=1,1;"}
    3.插件下载地址来自xiongjiong[.]com或chunfeifs[.]com。成功下载后,随后动态加载ter5.0.jar,并反射执行“init”方法完成恶意推广行为初始化,下图“CWAPI”的静态代码块,可知DowginCw的弹窗方式。
    最后主包通过反射执行子包“call”函数启动恶意推广。
    4.应用安装成功、网络改变广播监听,通过反射调用子包LCReceiver类onReceive函数实现。
    3.2子包恶意推广
    下图子包工作图:
    设置恶意推送模式和定时弹应用安装提示窗的指令数据,来自mail[.]zbmcc[.]cn返回的json数据中的b字段值,例如数据指令“1=2,1;3=2;4=2,1;7=3,2,1,30;8=1,1;”会开启以下3种推送模式和设定弹应用安装提示窗口定时器:
    内插轮番,在指定的间隔时间在主包应用窗口弹推送窗;
    解锁,设备解锁弹推送窗;
    外插轮番,在指定的间隔时间在任意应用窗口弹推送窗;
    “DowginCw”每发起一次恶意推送,都会从go[.]1mituan[.]com获取加密的待推送应用数据。
    经解压解密可获取数据如下,包括应用编号、弹窗图片地址、推送应用下载地址:为了能够在设备解锁,任意应用界面弹窗,病毒需要获取当前运行Activity实例。“DowginCw”通过反射获取ActivityThread中所有的ActivityRecord,从ActivityRecord中获取状态不是pause的Activity。
    成功弹出恶意推广窗,用户触屏图片区域,甚至点击“取消”也会下载准备的应用。
    安装提示窗也是定时执行,若监测到下载应用没被安装,则会弹窗诱导用户安装应用。当应用成功安装,LCReceiver会接受处理“android.intent.action.PACKAGE_ADDED”广播,实现应用自启动。如此环环相扣,完成一个又一个恶意应用植入用户设备。
    我们发现恶意推送的应用全部来自域名:xiongjiong[.]com和youleyy[.]com,下载的应用以伪装成游戏和色情类app为主,大部分属于SmsPay家族(启动发送扣费短信),部分Rootnik家族(root设备向系统目录注入恶意应用),下表部分推送应用:
    应用名包名
    我的世界com.xiaodong.android.mc.chwan0724
    绝地求生il.fhatiazsfv.f.k2be42121f2539.f9b1
    复仇者联盟com.union.theavenger20713
    贪吃蛇大作战yoq.yvlha.tfyz.HX2017_728
    私密空间com.simsiskongj20088ian.cdsqcgpmdpfm
    女神来了ymju567_thjtyu.juki
    我的安吉拉bgbg_67_n_6666.ghgyh
    越野飙车com.kkpo.iibs61108
    我的世界cdf.khyhkgdgd.lfdbvbhbngx

    0x4.黑色产业链分析
    如下图所示,由制马人、广告平台、多渠道分发、转账洗钱构成了“DowginCw”黑色产业链的关键环节。
    其中制马人团队负责开发维护,以及免杀处理,目前病毒已迭代到5.0版本,特点包括:能以插件形式集成到任意app;代码延迟加载,由云端下发恶意插件;字符串加密,代码强混淆等技术,可见“DowginCw”开发团队专业度之高。“广告平台”角色是“DowginCw”病毒的主要赚钱方式,通过在黑市宣传推广能力,以成功下载应用或成功安装病毒木马收费。“多渠道分发”团队在整个链条中处于相对核心的地位,通过与某些应用合作,成功集成“DowginCw”插件,致使能上架知名应用商店。从实际运作来看,整个圈子除了上述几个重要角色外,一些环节还会有其他黑产人员参与其中,比如上架应用商店后,想要让app曝光诱骗用户下载,会请专业人员进行刷榜,刷量,涮好评。

    Ox5.团伙溯源
    我们通过钱盾恶意代码智能监测引擎,从“DowginCw”病毒家族中提取出如下C&C地址:zbmcc.cn、smfoja.cn、typipe.cn、unfoot.com、yuchanglou.com.cn、inehzk.cn、chunfeifs.com、xiongjiong.com.cn、1mituan.cn、elianke.cn、youleyy.com、cd.zciec.com。从域名的注册邮箱分析,可挖掘出该产业链部分人员,如下图所示。
    分析发现:
    1、黑产团伙使用ailantian198*@126.com、lantian198*@foxmail.com、30854789*@qq.com作为“DowginCw”域名地址的公共邮箱,并使用这些邮箱注册大量其他恶意域名。
    2、其团伙成员包括:黄某、余某、程某、石某、齐某等9名成员,其中黄某负责平台推广;余某负责已注册的老域名购买;石某和齐某疑是病毒插件开发人员;其余人员属于下游工作者。
    3、根据该团伙黄某,石某在公网泄漏的QQ账号[email protected][email protected],发现团伙的“根据地”应该在福建。


    本文由安全客原创发布
    如若转载,请注明出处: https://www.anquanke.com/post/id/91955安全客 - 有思想的安全新媒体

    新人必看帖,如何快速赚取墨币,了解墨客安全网论坛版规,等等...( 点我查看

    如果你在论坛悬赏问答求助问题,并且已经从坛友或者管理的回复中解决了问题,请在帖子内点击(已解决)

    发帖求助前要善用 论坛搜索 功能,如果搜不到可以试试,论坛顶上的 百度站内搜索 - 纵横站内搜索 那里可能会有你要找的答案;

    如果发现论坛有灌水帖、下载地址失效帖、后门帖、广告帖、工具不能正常使用、都可以去 举报版块 发帖举报,核实给予退回墨币+额外的墨币奖励哦;
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    1、请认真发帖,禁止回复纯表情,纯数字等无意义的内容!帖子内容不要太简单!
    2、提倡文明上网,净化网络环境!抵制低俗不良违法有害信息。
    3、每个贴内连续回复请勿多余3贴,每个版面回复请勿多余10贴!
    4、如果你对主帖作者的帖子不屑一顾的话,请勿回帖。谢谢合作!

    关闭

    站长推荐上一条 /1 下一条