最强后门刷榜病毒,“隐流者”家族盯上70%的国内应用市场

2018 年 5 月 21 日 FreeBuf

近期,依托腾讯安全大数据,腾讯安全反诈骗实验室自研的TRP-AI反病毒智能引擎捕获到某色情病毒家族存在流量异常行为,腾讯安全研究人员研究发现,该色情病毒家族集成了一个名为 “隐流者”的应用刷单病毒,该病毒家族将自身植入到支付插件中,然后利用混淆,关键信息加密,核心代码剥离,恶意代码分多次下载等技术手段来绕过传统病毒引擎查杀。

腾讯安全研究人员指出隐流者病毒家族除了隐蔽性极强的特性之外,其隐匿于用户量极大的色情和游戏进行传播可以持续获取到足够的流量来布局刷量变现平台.该病将真实用户设备改造成后门刷量客户端,然后通过云端控制的方式让中招用户完成应用市场刷量任务。

根据对隐流者病毒完善的刷榜流程,安全研究人员其主要存在以下风险:

1、应用市场平台的生态安全:隐流者病毒可以绕过应用市场的虚假设备检测功能,实现对应用的快速刷取排名,影响应用市场排名的公平性;

2、应用开发者的营销损失:其可以针对竞争对手进行虚假下载攻击,应用开发者投入的大量市场推广费用最终换来的可能是虚假用户。

一 、该家族病毒主要危害

1、模拟刷榜功能

逆向分析各大手机应用市场搜索协议,利用中招设备发送模拟搜索请求,接着解析返回数据获取指定应用信息,进行应用下载安装的操作,最终完成指定应用的刷榜的行为.该功能还可用户打击竞争对手的应用,快速消耗竞品的广告费用.

(疑似可能被刷榜的部分应用)

2 欺诈扣费功能

勾起用户的欲望,自动订阅各种短信收费服务.。

二、该家族的传播方式

“隐流者”将后门代码植入到名为cmnpay的恶意支付插件中,任何使用该支付插件的应用都可执行相应的恶意代码.目前该恶意支付插件主要的使用者是色情刚需应用和部分的游戏应用.

三 、病毒样本的攻击流程

1 使用支付SDK的应用会主动将其加载起来

 

2 恶意代码执行流程

 

3 隐流者详细分析过程

3.1 GeneralService.onStart方法,等待一段时间后,初始化各种插件

3.2初始化插件的过程中,com.XYfNRjplXNf.a.c$1的run()方法会链接云端服务器,下载云端配置文件,解密以后获取到相应dex子包的下载地址

根据抓包分析,服务器域名为suann*n.com,下载插件的网络数据如下所示:

3.3 其中配置为sdk_pp的dex子包sdk_mod2会进一步从云端下载刷量相关的几个子包

4 隐流者核心模块的工作原理

4.1 恶意子包p_ste_1根据云端下发的配置信息针对应用市场进行应用搜索和下载刷量的行为。

4.1.1 解析云端的配置信息

4.1.2 针对不同的市场进行操作,几乎涵盖国内各大应用市场

4.1.3 抽象定义的基类,按照热词搜索应用、下载应用等刷量行为

4.2 通过逆向各个应用市场相关API接口,根据应用市场的不同实现不同的刷量逻辑,模拟相关网络请求,解析返回数据,最终实现刷量的目标

4.2.1 某应用市场实现案例

(1) 伪造搜索请求,根据关键字获取搜索结果

(应用市场返回的搜索接口数据)

(2) 伪造请求,获取相关应用的详细信息

(3) 伪造下载请求请求

四、溯源信息

通过对隐流者的相关信息溯源发现,该幕后黑手是位于深圳的厂商

五、查杀和防御

1 应用厂商防御建议

对应用市场API进行鉴权操作,仅允许官方应用进行访问,避免API接口被滥用

建立应用市场增长应用监控机制,避免大规模刷榜行为

与安全厂商进行合作打通安全情报,通过合作发现打击刷榜行为

2 用户查杀防御建议

安装手机防护软件即可查杀防御该病毒家族

*本文作者:腾讯手机管家,转载请注明来自 FreeBuf.COM

登录查看更多
0

相关内容

【干货书】用于概率、统计和机器学习的Python,288页pdf
专知会员服务
288+阅读 · 2020年6月3日
商业数据分析,39页ppt
专知会员服务
160+阅读 · 2020年6月2日
【SIGIR2020】用于冷启动推荐的内容感知神经哈希
专知会员服务
22+阅读 · 2020年6月2日
基于深度学习的表面缺陷检测方法综述
专知会员服务
93+阅读 · 2020年5月31日
【哈佛大学】机器学习的黑盒解释性,52页ppt
专知会员服务
168+阅读 · 2020年5月27日
【浙江大学】人脸反欺诈活体检测综述
专知会员服务
31+阅读 · 2020年4月15日
专知会员服务
27+阅读 · 2020年3月6日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
当你的头出现在A片演员的身体上
PingWest品玩
7+阅读 · 2019年1月6日
刘强东清明节回湖南湘潭认祖,带给乡亲100亿“小礼物”
中国企业家杂志
7+阅读 · 2018年4月7日
爱奇艺路演PPT曝光:下周在纳斯达克上市
腾讯科技
3+阅读 · 2018年3月19日
【智能商务】海量商品查找利器—苏宁搜索系统
产业智能官
5+阅读 · 2017年12月1日
嘿,这是本应属于你的“红包”!
腾讯
3+阅读 · 2017年7月13日
Arxiv
6+阅读 · 2018年8月27日
Arxiv
5+阅读 · 2018年2月26日
Arxiv
7+阅读 · 2018年1月18日
Arxiv
5+阅读 · 2015年9月14日
VIP会员
相关VIP内容
【干货书】用于概率、统计和机器学习的Python,288页pdf
专知会员服务
288+阅读 · 2020年6月3日
商业数据分析,39页ppt
专知会员服务
160+阅读 · 2020年6月2日
【SIGIR2020】用于冷启动推荐的内容感知神经哈希
专知会员服务
22+阅读 · 2020年6月2日
基于深度学习的表面缺陷检测方法综述
专知会员服务
93+阅读 · 2020年5月31日
【哈佛大学】机器学习的黑盒解释性,52页ppt
专知会员服务
168+阅读 · 2020年5月27日
【浙江大学】人脸反欺诈活体检测综述
专知会员服务
31+阅读 · 2020年4月15日
专知会员服务
27+阅读 · 2020年3月6日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
相关资讯
Top
微信扫码咨询专知VIP会员