概述
9月18日,獵豹移動(dòng)(CM)安全實(shí)驗(yàn)室向安卓用戶發(fā)出警報(bào)——“GhostPush”(幽靈推),一個(gè)幾乎無(wú)法去除的頑固木馬。
然而,后來(lái)事情變得越來(lái)越糟了,它的多個(gè)變種依次被發(fā)現(xiàn),經(jīng)過(guò)更為深入的研究與分析,來(lái)自CM的安全專家發(fā)現(xiàn)隱藏在這種病毒背后的是一個(gè)非法移動(dòng)營(yíng)銷產(chǎn)業(yè)鏈,其中涉及到精細(xì)復(fù)雜的操作和大量的供應(yīng)商。
迄今為止,該病毒已經(jīng)影響了全球超過(guò)116個(gè)國(guó)家的90萬(wàn)多安卓用戶,據(jù)推測(cè),病毒開(kāi)發(fā)者每天可從這個(gè)非法產(chǎn)業(yè)鏈中獲取至少405萬(wàn)美元的暴利。
回顧“GhostPush”事件
今年8月,發(fā)現(xiàn)GhostPush在全球范圍內(nèi)迅速蔓延的CM安全團(tuán)隊(duì)迅速發(fā)出警報(bào),并開(kāi)發(fā)出一種專門針對(duì)這個(gè)嚴(yán)重病毒的反病毒工具。不久之后,有更多的安全公司注意到這個(gè)危險(xiǎn)的病毒,并發(fā)現(xiàn)了幾個(gè)變種。
病毒家族發(fā)現(xiàn)時(shí)間軸
受影響APP
多個(gè)APP受影響
這個(gè)非法行業(yè)帝國(guó)是如何建立的?
病毒開(kāi)發(fā)者對(duì)一些流行的APP進(jìn)行了重包裝,注入了惡意代碼以及廣告組件。由于這些應(yīng)用程序可以繞過(guò)谷歌市場(chǎng)以及其他合法應(yīng)用市場(chǎng)的安全監(jiān)控,開(kāi)發(fā)者在許多其他熱門應(yīng)用市場(chǎng)成功提交并發(fā)布。然后,開(kāi)發(fā)者繼而通過(guò)合法渠道推廣他們的惡意程序。
從另一方面來(lái)看,在不知情的情況下用戶往往非常愿意下載這些偽裝成熱門應(yīng)用的惡意程序。當(dāng)用戶完全無(wú)法卸載這些惡意軟件時(shí),病毒開(kāi)發(fā)者便獲得大量活躍用戶。而擁有了這樣的用戶群體后,他們便可以建立一個(gè)市場(chǎng)推廣公司,成為移動(dòng)經(jīng)銷商。這些惡意開(kāi)發(fā)者有資格與廣告贊助商合作,通過(guò)推廣產(chǎn)品謀取暴利。
研究者發(fā)現(xiàn)至少4個(gè)可疑域名
在分析過(guò)病毒域名的指揮與控制(CnC)之后,CM團(tuán)隊(duì)發(fā)現(xiàn)了至少四個(gè)與這個(gè)病毒家族攻擊有關(guān)的域名?;谶@些相關(guān)信息,可以猜想到攻擊可能源于中國(guó)。
在合法應(yīng)用市場(chǎng)也發(fā)現(xiàn)此病毒家族
病毒開(kāi)發(fā)者在合法應(yīng)用市場(chǎng)也發(fā)布了經(jīng)過(guò)重包裝的惡意應(yīng)用,由此獲得了大量的用戶。截至目前,CM團(tuán)隊(duì)在谷歌市場(chǎng)、Aptoide以及其他熱門應(yīng)用程序商店中都發(fā)現(xiàn)了病毒樣本。讓人稍感欣慰的是,這些惡意軟件現(xiàn)在已從所有市場(chǎng)下架。
超過(guò)4000樣本受此病毒家族影響
這個(gè)病毒家族囊括了4000個(gè)樣本,主要出現(xiàn)在一些熱門游戲、工具以及社交軟件中,例如會(huì)說(shuō)話的湯姆貓3、超級(jí)馬里奧、Amazon等等。
截止10月8日,GhostPush已經(jīng)影響了超過(guò)116個(gè)國(guó)家的90多萬(wàn)手機(jī)用戶,主要集中于東南亞地區(qū)。
受病毒影響的主要地區(qū)列表如下:
主要國(guó)家感染用戶數(shù)量列表如下:
東南亞為什么成了重災(zāi)區(qū)?
病毒開(kāi)發(fā)者主要來(lái)自中國(guó),并且大多數(shù)經(jīng)過(guò)重新包裝的應(yīng)用程序是由中國(guó)供應(yīng)商開(kāi)發(fā)的。由于東南亞與中國(guó)地理接近,兩個(gè)地區(qū)在文化、歷史或宗教方面存在很多共同點(diǎn)。近年來(lái),已經(jīng)有越來(lái)越多的中國(guó)供應(yīng)商開(kāi)始在東南亞地區(qū)拓展業(yè)務(wù)。
安卓所有版本幾乎都難逃影響
這個(gè)病毒家族可以影響2.3至5.1幾乎所有安卓版本。令人震驚的是,即使最新版AndroidLollipop也無(wú)法逃脫厄運(yùn)。
所有受影響的移動(dòng)操作系統(tǒng)版本如下所示:
超過(guò)一萬(wàn)手機(jī)類型及2742個(gè)品牌受此牽連
幾乎所有大型手機(jī)制造商集體淪陷。三星作為谷歌開(kāi)放手機(jī)聯(lián)盟的硬件領(lǐng)跑者首當(dāng)其沖,由于其占領(lǐng)了最大的移動(dòng)市場(chǎng)份額,因此受影響最深。
這個(gè)病毒家族已經(jīng)惡意影響了多少應(yīng)用程序?
分析之后,研究者發(fā)現(xiàn)了一些推廣惡意軟件的信息。目前,已經(jīng)有93個(gè)應(yīng)用程序成為受害者。
所有這些應(yīng)用程序都被預(yù)先注入了病毒(例如com.msqwea.cjaaml,com.sex.position.withsoundSexPosition以及com.hui.szhdtmmnewTalkingTom.)。除了重新包裝流行應(yīng)用程序,這些病毒同時(shí)還強(qiáng)制下載帶有木馬、后門或者病毒的其他惡意程序,造成更進(jìn)一步的感染。因此,無(wú)論是合法或者惡意的應(yīng)用程序,都會(huì)成為GhostPush病毒的一部分。
在分析過(guò)程中,研究者還發(fā)現(xiàn)了一些有意思的信息,其中部分在下面列表展示如下:
病毒開(kāi)發(fā)者每天可獲利超過(guò)405萬(wàn)美金
這些惡意應(yīng)用程序在智能手機(jī)上每安裝一次,病毒開(kāi)發(fā)者便可獲得平均1.5美元的收益。目前,這93款應(yīng)用程序主要分布于游戲、工具及社交軟件中,其中最貴的當(dāng)屬游戲“魔法熱潮:英雄”,每次安裝需要3美金。
在測(cè)試了10臺(tái)設(shè)備之后,研究人員發(fā)現(xiàn)設(shè)備平均每天安裝3個(gè)應(yīng)用程序,由此估算出每個(gè)設(shè)備每天可以為病毒開(kāi)發(fā)者帶來(lái)4.5美元的收益。
從之前獲得的數(shù)據(jù)中可以看出,超過(guò)90萬(wàn)的設(shè)備感染了這三種病毒,這便意味著開(kāi)發(fā)者可以獲利至少405萬(wàn)美元,每天!
病毒家族的主要技術(shù)特點(diǎn)
1、病毒家族能夠繞過(guò)谷歌市場(chǎng)以及其他應(yīng)用市場(chǎng)的安全監(jiān)控,因此他們能夠在許多合法應(yīng)用市場(chǎng)發(fā)布惡意程序,由此獲得大批用戶。
2、這個(gè)病毒家族利用現(xiàn)存的安卓系統(tǒng)漏洞進(jìn)行提權(quán)操作,因此他們能夠?qū)τ脩粼O(shè)備進(jìn)行ROOT,讓用戶無(wú)法卸載病毒。CM已經(jīng)發(fā)現(xiàn)了一些被利用進(jìn)行提權(quán)的漏洞,如下所示:
解決方案
這個(gè)病毒家族可以自動(dòng)獲取你手機(jī)的根權(quán)限,ROOT受影響設(shè)備并獲取系統(tǒng)級(jí)別的訪問(wèn)權(quán)。病毒一旦感染,即使使用殺毒工具,用戶也很難擺脫,重啟手機(jī)之后這些惡意軟件依舊出現(xiàn)。幸運(yùn)的是,目前清理大師和CM安全已經(jīng)研發(fā)出一種處理病毒的機(jī)制,適用于這種特殊的病毒家族,請(qǐng)點(diǎn)擊鏈接進(jìn)行獲取。
參考
1.http://www.cmcm.com/blog/en/security/2015-09-18/799.htmll
2.http://blog.checkpoint.com/2015/09/21/braintest-a-new-level-of-sophistication-in-mobile-malware/
3.https://www.fireeye.com/blog/threat-research/2015/09/guaranteed_clicksm.html
4.http://blog.trendmicro.com/trendlabs-security-intelligence/two-games-released-in-google-play-can-root-android-devices/
5.https://www.fireeye.com/blog/threat-research/2015/10/kemoge_another_mobi.html
附錄:GhostPush樣本
MD5s:https://docs.google.com/document/d/1HL6CarctYO7ekGcskNvZuMv9ws_BHdcPYzz2iTI-vKw/edit?usp=sharing