地下暗流:揭秘控制百万肉鸡的GhostFramework

AlexFrankly 2017-10-20 信息安全 0 0

一、前言

1、 公司化幕后运作,通过线下渠道恶意安装后门程序,受影响的”肉鸡”高达200万+。

地下暗流:揭秘控制百万肉鸡GhostFramework地下暗流:揭秘控制百万肉鸡GhostFramework

2、 GhostFramework感染区域高度聚集,大部分的影响用户都位于浙江省境内,主要影响宁波、杭州、温州、台州、嘉兴、金华等地。

地下暗流:揭秘控制百万肉鸡GhostFramework

3、 中招的”肉鸡”将接收到GhostFramework从云端下发的控制命令

完成刷流量(如百度搜索、搜狗搜索、360搜索、神马搜索、天猫等),安装不明应用,弹广告等任务.幕后的公司则通过这些流量变现谋取利益。

地下暗流:揭秘控制百万肉鸡GhostFramework

4、 GhostFramework传播来源分析

根据溯源信息杭州科技股份有限公司和杭州网络科技最有可能是此病毒后门的幕后黑手。

地下暗流:揭秘控制百万肉鸡GhostFramework

二、APK详细解析

2.1 样本基本信息

应用名: Android Data Report

包名: com.android.system.xfortify

证书(常用): ce53356b6d0fb01253e603928f747878

主要作恶流程:

地下暗流:揭秘控制百万肉鸡GhostFramework

涉及网址:

地下暗流:揭秘控制百万肉鸡GhostFramework

样本传播情况:

地下暗流:揭秘控制百万肉鸡GhostFramework

2.2 伪造访问刷量

刷量恶意子包使用原生webview框架,通过定制JS实现客户端模拟刷量行为。

首先样本会释放子包:

地下暗流:揭秘控制百万肉鸡GhostFramework

其操作是释放下一个子包web.jar去执行真正的恶意操作,以及获取一些本地加密的config:

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

释放出来的web子包则执行了真正的刷量操作,首先web子包会请求云端获取一份包含刷量目标和js网址的JSON:

地下暗流:揭秘控制百万肉鸡GhostFramework

这里面包含了搜索的关键词,点击频率等各种参数。

然后web子包会获取一个加密的js文件,来自:

http://cdn.**.com:8080/ads/js/web6-v1-stable.js

地下暗流:揭秘控制百万肉鸡GhostFramework

对其解密,进行分析之后,发现这个js文件就是刷量操作的关键点了,包含了模拟点击广告、模拟搜索、模拟表单填写等功能,具体内容过多故将在后文中进行详细的分析。未加密的js与加密的类似,不赘述。

在获取这些文件信息之后,web子包将其载入自己编写的WebView中进行呈现:

地下暗流:揭秘控制百万肉鸡GhostFramework

除此之外,部分版本的样本将访问http://t.***.com/update.php?channel=qddl_51&uid=359ca82c-60bb-303a-af80-28d167a92020&from=shell&kernelVersion=0&lastUpdateTime=0获取一个子包下载地址:http://cdn.*.com/title.png

该png文件是加密后的子包,解密之后得到包名为com.gw.coreapp,对其分析之后发现和之前的web子包大同小异,主要是获取信息的网址有所变化:

http://61.*..140/ando/x/

http://n.*.com:8066/s/

http://n.*.com:8066/s/

由于包名中的gw为”GhostWeb”的缩写,故也依此将这类伪造WebView进行刷量操作的子包统称为GhostWeb,外部主控统称GhostFramework。

2.3 关键JS详细分析

对JS操作进行分类总结如下:

(1) 使用常规搜索引擎模拟搜索云端下发的关键字

(2) 模拟点击搜索内容,并对热点、广告进行点击

(3) 判断到达特定页面将会进行特定的点击或其他操作:

a. Tmall店铺点击

b. 模拟阅读(滚动)

(4) 大部分操作具有随机性

(5) 需要输入的广告会进行信息生成与填充提交

(6) 许可点击广告产生的可能的apk下载

下面将一一说明。

模拟搜索

首先Android端会获取一份JSON,里面包含了许多关键词,并指定了使用何种搜索引擎:

地下暗流:揭秘控制百万肉鸡GhostFramework

关键词显而易见,搜索引擎则是通过最下方的url一步步跳转得到的,上例中访问http://www.***.com/?ref=mk_Baidu_KW会根据内部js跳转至http://ddd42.**.xyz/my.html

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

然后进一步跳转至http://youhui.***.com/mjuhuasuan.html

地下暗流:揭秘控制百万肉鸡GhostFramework

该网址处直接通过js加载了天猫聚划算的页面。

地下暗流:揭秘控制百万肉鸡GhostFramework

其余的搜索引擎也是类似过程,在抵达搜索页面后,js将执行以下函数(作者未混淆函数名):

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

获取搜索内容,输入搜索内容,执行搜索并点击;

具体使用到的搜索引擎也在代码中列举了出来:

地下暗流:揭秘控制百万肉鸡GhostFramework

搜索外的各种点击事件

同样的给出函数逻辑,首先是热点的点击:

地下暗流:揭秘控制百万肉鸡GhostFramework

可以看到函数针对四种引擎都做了专门的一套点击方案,具体内容就是取标签位置然后模拟点击。

接下来是一些广告点击,发生在搜索完成后:

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

以下广告点击发生在模拟阅读内容后:

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

特殊处理

天猫相关的代码片段:

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

模拟阅读(滚动)和点击的函数。

针对东方网的模拟阅读:

地下暗流:揭秘控制百万肉鸡GhostFramework

随机操作

地下暗流:揭秘控制百万肉鸡GhostFramework

js中大部分操作具有一定的随机性以及限制,具体如上图。

表单填充

针对一些特殊的带有输入的广告,js中也做出了处理,生成人名、年龄、电话、邮箱等信息填入之后点击提交,进行了这样的伪造数据提交操作。

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

其余函数还有年龄、qq邮箱、省份、城市等,这里仅列出两个例子。

广告点击下载功能

对于某些夹杂apk的广告,js中采取了点击下载的策略。

2.4 恶意推广

开始运行时,首先会检查时间是否合法:

同时跟进函数发现这条记录写到/sdcard/com.android.system.xfortify/log当中,查看目录可以发现两个文件:

地下暗流:揭秘控制百万肉鸡GhostFramework

内容分别如下:

地下暗流:揭秘控制百万肉鸡GhostFramework

对文件内容进行简单分析可以发现如下特征:

1、 安装2小时后开始推广广告;

2、 推广存在生命周期限制(但由于云端错误无法得知生命周期);

3、 程序会监测屏幕状态判断是否有用户正在操作,并依此决定推广时机。

回到静态内容,可以发现在广告方面主要走了如下渠道:

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework地下暗流:揭秘控制百万肉鸡GhostFramework

麦唱、创变、以及柚游。

以及推广间隔:

地下暗流:揭秘控制百万肉鸡GhostFramework

这些广告的表现形式为直接启动Activity覆盖当前窗口,很可能影响用户对手机的使用体验:

地下暗流:揭秘控制百万肉鸡GhostFramework

除此之外,部分样本中又发现了另外的恶意推广子包,子包将会从POST网址http://p.**.com:6088/s/开始,故命名为zccfo。

该恶意推广子包首先获取自http://p.**.com:6088/s/,通过post操作获取到一个“dexURL”:http://cdn.**.com/s?v26

地下暗流:揭秘控制百万肉鸡GhostFramework

随后访问这个URL获取了一个子包:

地下暗流:揭秘控制百万肉鸡GhostFramework

该子包是一个套路十分常见的恶意推广子包,包含了Root功能、静默安装功能、安装系统应用功能、禁用杀软功能。

Root方案(明显的elf文件Matrix以及su8):

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

从云端获取推广信息并推广:

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

对获取的数据解密后发现为空(”[]“),故无法进一步分析其中内容,但可以通过后续的代码来判定后续的操作。

跟进发现apk的下载以及静默安装操作:

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

同时应用还能将推广应用直接安装成系统应用:

地下暗流:揭秘控制百万肉鸡GhostFramework

此外,样本中还包含使用am force-stop命令停止管家、360、猎豹、lbe、网秦、百度手管等杀软的操作。

三、溯源信息

如简介中所提到的,该样本高度集中在浙江省内。

同时在知乎上发现了这样的案例:

https://www.*.com/question/**

地下暗流:揭秘控制百万肉鸡GhostFramework

根据大数据分析,我们怀疑GhostFramework传播渠道来自线下安装。下面是我们的一些溯源信息也一定程度上证实这款应用是通过一些线下渠道进行的传播

1.GhostFramework同证书”店员助手”

GhostFramework证书颁发者CN=d**g, OU=skymobi-android, O=skymobi, L=hangzhou, ST=zhejiang, C=CN,即为为杭州斯凯网络科技,同证书下含有店员助手,其可用于员工推广装机应用统计,当登录员工帐号时,所用域名为mobile.***.net:8888

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

2.微助手官网mobile.****.net

该网站为提供微助手客户端,为手机安-装应用,每装一台手机都会得到装机酬金,除此之外,每天装机超过一定数量额外奖励。

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

3.微助手客户端

可在该微助手客户端搜索到店员助手等之前提及的应用,且能下载到GhostFramework 病毒

地下暗流:揭秘控制百万肉鸡GhostFramework

地下暗流:揭秘控制百万肉鸡GhostFramework

四、清理方案

用户安装并开启腾讯手机管家即可拦截查杀GhostFramework家族病毒:

1、 直接卸载软件

2、 删除/sdcard/目录下的com.android.system.xfortify和.e1216efb两个文件夹

3、 如发现无法卸载,尝试解除设备管理器权限后卸载

4、 均无法生效时尝试Root后强制删除或刷机

*本文作者:腾讯手机管家,转载请注明来自 FreeBuf.COM

转载请注明来自华盟网,本文标题:《地下暗流:揭秘控制百万肉鸡的GhostFramework》

喜欢 (0) 发布评论