<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("悍马,Hummer,病毒家族,分析报告") PageTitle=stripHTML("“中国”制造:悍马(Hummer)病毒家族技术分析报告") ArticleIntro=stripHTML("自2016年年初开始,猎豹移动安全实验室对印度top 10的手机样本进行了梳理") Articlecontent=stripHTML("结果发现这些病毒样本存在家族关系,这些病毒样本均采用hummer系列域名为升级服务器,猎豹移动安全实验室将该病毒家族命名为“悍马(hummer)”。  悍马(H…") ModuleName = stripHTML("hack") InfoID = stripHTML("227673") ChannelShortName=stripHTML("Hack") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("hack") %> “中国”制造:悍马(Hummer)病毒家族技术分析报告 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> Hack >> 牧马天地 >> 正文

[组图]“中国”制造:悍马(Hummer)病毒家族技术分析报告

2016/7/8 作者:猎豹移动威胁情报… 来源: 网络收集
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

  结果发现这些病毒样本存在家族关系,这些病毒样本均采用hummer系列域名为升级服务器,猎豹移动安全实验室将该病毒家族命名为“悍马(hummer)”。

  悍马(Hummer)病毒全球日活119万

  据猎豹移动安全实验室监测数据,2016年1-6月,悍马(Hummer)病毒的平均日活119万,超过其他所有手机病毒的感染数据,悍马病毒已成世界排名第一的手机病毒。

  图片1.png

  悍马(hummer)手机病毒已遍布全球,印度、印尼、土耳其位居前三,中国居第4。

  图片2.png

  印度是悍马病毒感染量最高的国家,在印度肆虐的十大手机病毒中,第2、3名是悍马病毒家族成员,第6名是悍马病毒推广安装的其他病毒。

  图片3.png

  悍马病毒最早的样本在2014年即被发现,2015年7月后,该病毒的感染量明显上升。2016年该病毒的平均日活119万,峰值超过140万。

  图片4.png

  悍马病毒样本变种数在2016年4-5月份达到高峰,和该病毒在全球的感染量增长基本吻合。

  图片5.png

  “悍马(hummer)”病毒家族的发现

  图片6.png

  除部分风险应用外,其中标红为本文讨论的家族,该病毒会root用户手机,静默安装其他病毒以及推广安装大量应用。

   图片7.png

  看似一款普通的应用,但是安装后手机就重启。然后屏幕满满的广告,系统被安装大量同类变种、推广应用、 以及其他病毒。就像这样

   图片8.png

  中毒用户将手机恢复出厂设置并不能解决问题,因为病毒已经获得ROOT权限,system分区已被修改,“悍马”病毒的多个变种已植入手机ROM内。

   图片9.png

  这种被深深植入rom的病毒,普通的恢复出厂设置,以及进入recovery系统wipe data(安卓用户熟悉的手机双清)都无法清除。

  悍马病毒在手机上的运行方式

  悍马病毒使用了私有壳

   图片10.png

  实际主体在stream.png的文件里

  图片11.png

  在这个png 实际上是一个加密后的 elf 被载入后释放一个zip

  

图片12.png

  该应用的代码实际隐藏在这个zip里面

   图片13.png

  脱壳后的,其资源文件还有两个elf两个apk

  图片14.png

  首先,悍马病毒运行后会释放该模块root手机,并且会根据不同的机型使用不同的解决方案。

  图片15.png

  如果该文件不存在或者损坏,他还可以联网更新

  图片17.png

  图片18.png

  病毒会根据不同的运营商来判断使用哪个模块。right_core是一个500k的zip包。

  图片19.png

  图片20.png

  right_core包含一个root sdk,root手机之后下载更多的子包与以上guangbom等url路径为/getSSPDownUrl.do?cid=的apk并安装。

  图片21.png

  另外如果root成功,则将之前包里的erwuba这个apk解密并安装到system下,如果root失败则频繁弹出安装窗口,强迫用户安装。该apk安装无图标,作用类似主apk,为病毒的备份,防止原先病毒app被卸载。

  接下来就会疯狂弹出各种广告:

  图片22.png

  根据最新版发现,“悍马”病毒最新变种内置多达18种root方案,基本涵盖Android 5以及更早的系统版本。

  图片23.png

  等root完手机之后,“悍马”病毒变种会以如下方式与广告服务器通讯,进而静默安装其他应用,前台频繁展示,或者后台点击厂商广告。

  图片24.png

  受害广告厂商

  我们在一台测试机安装悍马病毒APP,做了几个小时的网络抓包,发现其在短短的几小时内,访问网络链接数万次。消耗网络流量达2GB,下载apk超200个。发现受影响的广告厂商如下:

  图片25.png

  追踪

  猎豹移动安全实验室对悍马病毒的历史进行溯源,发现该病毒家族很早就有发现,变种依然十分活跃。

  也有其他国外安全厂商有过分析报道:Checkpoint

  这是一个什么样的病毒组织呢?

  猎豹移动安全实验室追踪到病毒常用域名更新接口如下:

http://d1qxrv0ap6yf2e.cloudfront.net/domain/3.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/4.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/5.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/6.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/7.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/8.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/9.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/11.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/12.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/13.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/14.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/15.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/16.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/17.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/18.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/19.json

  对应内容如图

  图片26.png

  其中root相关的为 9.json 目前其内容如下

{"id":9,"name":"SSP-DW","master":"cscs100.com","slave":"cscs200.com"}

  这些域名除了写在代码里,还有通过以上url获得收集到的提供病毒更新的域名如下

  guangbom.com

  ssppsspp.com

  cscs100.com

  cscs200.com

  ccaa100.com

  ccaa200.com

  使用后缀均为getSSPDownUrl,但是链接返回的apk不固定。其中猜测几个cid作用如下

  117 124—-Root工具

  112 115 118 120 121 126 127—-恶意推广com.android.systemUl

  129 025—-恶意推广com.android.updater

  这些网址仍然活跃

     图片28.png

  这些链接基本都会跳转到以下两个aws域名,这两个域名下,散布了大量病毒(virustotal截图)

     图片29.png 

       图片30.png

  另一个系列更新链接如下

  http://fget.aa0ab.com:10010/c/

  http://manage.hummerlauncher.com:10010/c/

  http://fget.haoyiapi.com:10010/c/

  http://fget.aa0ab.com:10010/c/

  图片31.png

  以上涉及的域名中,明确提供病毒下载与更新的域名如下

  guangbom.com

  ssppsspp.com

  cscs100.com

  cscs200.com

  ccaa100.com

  ccaa200.com

  manage.hummerlauncher.com

  aa0ab.com

  haoyiapi.com

  虽然大部分域名whois信息已经被隐藏,部分域名的whois已经更新,但我们仍然获取到如下信息

  图片32.png

  图片33.png

  图片34.png

  域名的whois信息中,有两个貌似是商业广告公司的网站 hummermobi、hummeroffers ,其中的一个网站还写有公司地址。简单搜索,发现这两个域名属于上海昂真科技有限公司,该公司为北京微赢互动科技有限公司在上海的全资子公司。

  图片35.png

  图片36.png

  使用搜索引擎,发现上海昂真科技有限公司重庆分公司的法人代表为“陈阳”,也是两个病毒更新域名的实际持有人。

  域名Whois历史中涉及两个QQ邮箱追踪如下:

   图片37.png

   图片38.png

   图片39.png

   图片40.png

  图片41.png

  其邮箱对应的微博指向了iadpush的员工。根据上市公司公开资料,iadpush是微赢互动旗下的子公司。

  然而更意外的是:该病毒组织员工安全意识薄弱,竟然把密码公开放到代码托管网站SourceForge.net上(完整URL:https://sourceforge.net/p/xiu8/svn/HEAD/tree/doc/iad/)

  注:SourceForge 是全球最大开源软件开发平台和仓库,是为开源软件提供一个存储、协作和发布的平台。

  图片42.png

  猎豹移动的安全研究人员在其泄露的内部文档中发现,他们的后台网址竟然就是病毒的更新网址,已泄露的文档相当详尽。虽然数据稍显陈旧,但仍有参考价值。

  猎豹移动追踪到与McVivi_Vip相关的某网盘,其中有大量关于微赢互动公司制作恶意程序的内部文档。

  图片43.png

  图片44.png

  里面还有他们的工作规划,招聘岗位说明……

   图片45.png

  

图片46.png

  

图片47.png

  悍马病毒功能相关域名关系图

  

图片48.png


  • 上一篇Hack:

  • 下一篇Hack: 没有了
  • Hack栏目相关内容

      没有相关Hack