2016年8月17日,ISC2016移动安全发展分论坛在北京国家会议中心召开。360高级手机样本分析师陈宏伟在此次论坛上做了“企业级恶意程序开发者搅局移动安全”的报告。
以下内容为陈宏伟演讲速记整理全文:
谢谢大家!盘古团队给我们带来了IOS相关的,现在再转回用的最多的安卓。这次我的议题是“企业级”恶意程序开发者搅局移动安全。我是来自360烽火实验室,我们为所有的360产品,包括360卫士、360邮箱、360助手提供安全,同时也为其他的国内外数据厂商提供数据支持。
今天的主题主要分四大部分,移动恶意开发者概况,企业开发者大显身手,恶意开发者之间的较量,最后是应对策略。
第一部分,移动恶意开发者概况。
大家看这个程序叫恶意程序开发者,这个定义来源于360移动平台中的恶意开发者数据。这是2013年的情况。个人开发者,黑开发者他的数量明显要比“企业级”开发者多。2014年,发现个人开发者的量有一个下降,“企业级”开发者的下降反而不是那么明显。又过了一年,也就是去年,个人恶意开发者的数量少了这么多,反而企业开发者的人数比个人开发者还多了。
那么我们得出一个结论,恶意的个人开发者的数量,是基于移动开放平台的数量是在减少,而“企业级”开发者,它的数量一直没有变,而且还有一个增长的趋势。我们看一看为什么这个开发者它成了恶意开发者?
第一横队,使用恶意广告。刚才之前的一位嘉宾提到过广告是移动开发的基石,恶意广告就是摧毁这个基石的利剑。再一个发布山寨应用,发布低俗色情应用,强制下载第三方应用,无提示扣费。当然这也是他们来前的方式。还有窥探用户隐私,窥探用户隐私只是一部分,最后一个提交虚假的身份信息。为什么虚假信息也是恶意开发者的一项?因为在360移动平台提交应用或者上传APP,需要做一个开发者信息校验的,某一些人为了躲避这个就要上传虚假信息,当然一旦上传虚假信息就被拉黑了。我们得出的结论是企业开发者的数量越来越多。我们看看他们到底做了哪些事情呢?
第二部分,企业开发者大显身手。
时间回到2015年7月,我们发现有90余款游戏被植入了一段恶意代码。这段代码会在用户不知情的情况下联网下载一个模块,这个模块为了去给某收费引擎和导航刷流量,便会下载另外一个列表,其中含有搜索关键字。因为它在后台模拟一个完整用户点击的情况下去做一个搜索,而且是每次解锁之后都会做一次搜索,会给用户造成极大的流量损失。而且这个行为是受云端控制的,像一个僵尸一样,所以我们命名为流量僵尸。流量僵尸木马第一个模块就是下载恶意模块,它本身并不能干这个事情,需要动态地从云端获取代码。当时我们截获的下载代码的截图,大家留意一下这个UI。之后拿到了模块,下一步最重要给搜索引擎带流量,我们搜的内容是什么。我们看这个内容比较丰富,还有分类,包括娱乐、时政、新闻都有。之所以这么做的原因就是最精确的关键词,更像一个真实的用户,不会被搜索引擎的机制所发现。最后一步就是模拟用户做一个搜索的操作,就像我们发现了某一个搜索引擎在上面,这是某一个导航。后来针对流量僵尸这一批样本,我们做了一个完整分析,发现有26%的应用是这样的,我们可以看到几个关键字,有S开头的符号,它们究竟是什么呢?咱们留一个悬念,感兴趣的话可以查。
我们再看下一段,2015年8月,这个故事是这样的,某品牌的用户扩展更新了,然后又发现了截图的情况,客户说我手机多了这个应用,关了以后还会打开,删了以后还会出现。又有用户说我手机显示了ROOT,用户一脸迷茫,不知道到底发生了什么。那么到底发生了什么呢?这是某品牌手机当时做的应急处理方案。
给大家揭晓一下,其实这个木马我们经过详细地分析以后,发现大概是这样一个执行流程。首先它是伪装成某一款正常的软件进入到用户的手机中,它自己带有ROOT模块,它会把这个模块释放出来,在静默的情况下去ROOT用户的手机,如果用户ROOT不了,它还会从云端继续ROOT你的手机。如果ROOT不成功它就不工作了,如果ROOT成功了它就会ROOT其他的模块,世界就不一样。会下载,还会静默安装。这个手机感染之后还会篡改系统文件,这就是为什么有用户会说我手机中了毒删不掉的问题。它有强大的自我保护,这个幽灵干了一件事情,细思极恐的事情就是它想干什么都可以干。
随后我们进行了彻底的大排查。我们在一个伪装成游戏,daily racing而的变种,在其运行的衍生物中发现了名为ngsteamprf.xml的配置文件。这是fastmotay的文件,这是我们之前所说的最主要的核心病毒程序。在另一个变种的方式中,也发现了。当然不光我们发现了,又过几个月,国外FireEye在其博客中也发现了该恶意程序,最终指出这个恶意程序的作者是一家中国公司,它也注意到了我们当时所说的奇怪的签名。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。