欢迎来到天天文库
浏览记录
ID:16885949
大小:4.88 MB
页数:23页
时间:2018-08-25
《腾讯御安全深度解析新型流量盗刷病毒家族》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、腾讯御安全深度解析新型流量盗刷病毒家族【关键词:腾讯御安全,APK漏洞扫描,应用安全,应用漏洞】近期,腾讯安全反诈骗实验室的新一代AI引擎TRP,基于应用行为、网络行为等维度进行人工智能学习训练,从海量APK文件检出一款新型流量盗刷病毒家族,其开发者嚣张留下痕迹称其为“/evil/invisible”——我们将其命名为“隐匿恶魔”。腾讯御安全发现,该病毒一旦进入用户设备后,其内置云控模块就会下发云控指令控制用户设备执行后台模拟广告点击等非法操作! 前言, 神羊情报分析平台“揪出”幕后黑手神羊是腾讯御安
2、全技术支持腾讯安全联合实验室研发的一款情报分析系统,输入病毒样本相关的IP、域名、电话号码或邮箱等线索,就能对线索进行溯源分析并呈现整合结果。当确认某SDK模块是恶意行为发起方,我们通过神羊定位到名为上海柚稻信息技术有限公司与此事有关。我们已将相关线索提交给相关部门评估处理,目前用户可以通过手机管家进行拦截查杀。 一、AI引擎聚类关联发现:多款正规应用被重打包该恶意病毒家族通过SDK代码集成、应用重打包等方式嵌入各类流行应用中,然后通过应用市场、软件下载站、线下手机店等渠道安装到用户手机;不仅多米音乐
3、等多款流行应用都不慎被植入“隐匿恶魔”,某应用市场PC版及非官方ROM也成为了病毒的植入渠道,根据神羊情报,该家族主要通过几种方式大量传播: 伪装成系统应用并通过某些PC应用市场模块进行线下推广·通过非官方ROM植入用户手机·通过合作植入到一些流行应用中·通过重打包流行应用然后诱导用户下载 二、详细分析报告如下:1.样本基本信息应用名:系统设置包名:com.android.system.settings证书:ECC18BE38235706A4A4
4、6B96568C57A0D恶意行为: 主要访问域名:任务下发域名api.jsi**.com广告下发域名a.you***dia.com(注册公司为“上海柚稻信息技术有限公司”) api.miss***eenz.cn(可下发安装APK) api.orange***3.cn(可下发安装APK)涉及部分广告URL: 2.模拟广告点击流程分析样本通过WebView加载HT
5、ML页面,并注入invisible.js到页面中,并提供模拟点击、滑动操作的接口。样本从服务器拉取广告任务,通过动态构造HTML元素加载广告,并点击广告,必要时由Java代码实现模拟点击、滑动操作。1) 通过WebView加载URL,http://api.jsi***.com/evil/invisible.html,并通过loadUrl注入http://api.jsi***.com/evil/invisible.js
6、 图加载HTML 图注入js2)请求广告广告加载主要由http://api.js***.com/evil/invisible.html完成初始化任务列表: 任务列表:
7、 任务字段含义: 根据任务列表,向a.youe***dia.com请求广告信息: 广告请求的设备信息由Java代码提供。 3)加载广告广告请求返回如下JSON: 根据impression_monitor_url创建HTML元素: 4)模拟点击
8、 点击操作实质上是通过访问广告请求的click_url实现: 如果是apk,则调用Java代码下载: Java代码: 创建HTML元素:
此文档下载收益归作者所有