一、導(dǎo)讀
手機(jī)早已成為人們生活中不可或缺的一部分，在娛樂(lè)，移動(dòng)支付，社交等方面都起到舉足輕重的作用，可以說(shuō)在當(dāng)今社會(huì)手機(jī)就是人們重要的“生存”工具之一。但是在享受時(shí)代帶給我們的福利的同時(shí)，一些“不懷好意”的人們也伺機(jī)而動(dòng)，用各種非法的手段從眾多的網(wǎng)民身上謀取利潤(rùn)，因?yàn)檫@些人的存在，嚴(yán)重的損害了普通人的利益，無(wú)論是去年爆發(fā)的勒索病毒，還是今年的銀行木馬，這些安全事件都應(yīng)讓我們警醒，在互聯(lián)網(wǎng)時(shí)代我們還有很多事要做，我們的安全道路任重而道遠(yuǎn)。
二、病毒威脅介紹

2.1　一不小心你就中招
近日，平臺(tái)監(jiān)測(cè)到一款新型病毒，經(jīng)過(guò)安全人員研究，發(fā)現(xiàn)其偽造成正常內(nèi)存清理軟件，在點(diǎn)擊后隱藏圖標(biāo)，轉(zhuǎn)入后臺(tái)運(yùn)行，上傳用戶信息，下載執(zhí)行惡意插件，對(duì)用戶信息安全造成極大威脅，為了保護(hù)廣大網(wǎng)民的安全，對(duì)此病毒和服務(wù)器地址進(jìn)行了上報(bào)處理，在根源上斷絕病毒的傳播。
2.2　你的手機(jī)如何成為了病毒的溫床？
該病毒仿照正常手機(jī)清理軟件，混淆視聽，欺騙用戶下載，并且在運(yùn)行后隱藏圖標(biāo)轉(zhuǎn)而后臺(tái)運(yùn)行。應(yīng)用運(yùn)行狀態(tài)，如圖2-1，圖2-2所示：
2.2.1　隱藏圖標(biāo)
通過(guò)包管理器設(shè)置圖片隱藏，如圖2-3所示：

2.2.2　軟件后臺(tái)駐留運(yùn)行
通過(guò)接受廣播啟動(dòng)服務(wù)，如圖2-4，圖2-5所示：
在Android版本5.0以上該樣本則采用了JobSchedule機(jī)制進(jìn)行后臺(tái)進(jìn)程保活，如圖2-6所示：
2.2.3　上傳用戶數(shù)據(jù)
病毒在用戶不知情的情況下發(fā)送數(shù)據(jù)包，私自獲取大量用戶設(shè)備信息，并且發(fā)送到指定url，如圖2-7所示：
上傳數(shù)據(jù)包中的用戶設(shè)備信息內(nèi)容（解密后結(jié)果），如圖2-9所示：
2.2.4　與遠(yuǎn)程服務(wù)器交互
病毒運(yùn)行過(guò)后會(huì)向主控服務(wù)器發(fā)送數(shù)據(jù)包，然后根據(jù)主控返回的結(jié)果執(zhí)行下一步的行動(dòng)，如圖2-10，圖2-11所示：
抓包得到服務(wù)器返回的結(jié)果，我們可以大致判斷此時(shí)病毒主控服務(wù)開啟，但廣告推送的功能屬于關(guān)閉狀態(tài)。
結(jié)果表明服務(wù)正常運(yùn)行，病毒向URL發(fā)送請(qǐng)求，確認(rèn)下載插件的地址，下載插件，運(yùn)行插件如圖2-12，圖2-13，圖2-14，圖2-15所示：
2.2.5　利用插件化技術(shù)隱秘執(zhí)行
按照常理病毒需要找準(zhǔn)時(shí)機(jī)運(yùn)行這些插件，但并不是直接在Android系統(tǒng)層直接運(yùn)行。這里用到了一個(gè)近比較流行的插件化技術(shù)。在這個(gè)樣本中，病毒作者利用了一款開源的多開應(yīng)用框架VirtualApp，運(yùn)用此框架可以使得插件的作用效果大大增強(qiáng)，因?yàn)榇丝蚣苁沟牟寮?shí)際是在Android系統(tǒng)與外部應(yīng)用的中間層運(yùn)行，插件的運(yùn)行受系統(tǒng)本身的限制將會(huì)減少很多，近似于root的環(huán)境給病毒創(chuàng)造了絕妙的溫床，而虛擬機(jī)的環(huán)境又使得靜態(tài)的病毒檢測(cè)方法無(wú)法生效，提高了查殺難度，結(jié)合 VirtualApp的病毒確實(shí)可以肆無(wú)忌憚做很多事。
VirtualAPP實(shí)現(xiàn)程序內(nèi)部運(yùn)行大致遵循以下流程，首先代理程序運(yùn)行所需系統(tǒng)各種服務(wù)，使運(yùn)行程序和VA為合為一體，其次修正應(yīng)用數(shù)據(jù)，保存原有數(shù)據(jù)，然后數(shù)據(jù)整合在VA中代理運(yùn)行，終交于系統(tǒng)執(zhí)行。
2.2.6　破壞殺軟主動(dòng)防御
對(duì)服務(wù)器下發(fā)的插件分析，發(fā)現(xiàn)存在惡意行為。經(jīng)過(guò)抓包后處理，我們發(fā)現(xiàn)程序經(jīng)過(guò)解密終會(huì)生成2個(gè)Jar包，如圖2-19所示：
該jar包在運(yùn)行后會(huì)主動(dòng)破壞系統(tǒng)中存在的主防，并且會(huì)重啟手機(jī)，目前可以確認(rèn)會(huì)被破壞主防的殺軟有LBE安全大師以及360的主動(dòng)防御。
2.3　主控地址功能
主控地址    功能
http://api.*.top:9000/api/channel/cfg?**    確定整個(gè)服務(wù)的功能狀態(tài)。
http://www.*are/cr/sv/getGoFile?name=goplaysdk_statistics_s250.dat    獲取插件下載地址。
http://hc**day:8082/spdumread/service/rtLogRecord    作為獲取設(shè)備信息的地址。
http://alo*.com/app_logs    基座中包含的友盟統(tǒng)計(jì)模塊。
http://hc.s**op/gpfile/pfiles/    惡意插件的下載地址。
2.4　主控地址追蹤
我們只對(duì)其服務(wù)器域名進(jìn)行溯源，通過(guò)域名的whois查詢，獲取到的大部分信息都被隱藏，包括注冊(cè)信息，聯(lián)系人，公司信息，其中只有一個(gè)域名信息較為完整，如圖2-20所示：
根據(jù)基本信息我們大致知道注冊(cè)人的基本情況，根據(jù)郵箱查找相關(guān)信息，查看qq的情況，判斷是被盜號(hào)過(guò)后注冊(cè)的郵箱，如圖2-21，圖2-22所示：
三、防范及處置建議
建議用戶提高警覺性，使用軟件請(qǐng)到官網(wǎng)下載。到應(yīng)用商店進(jìn)行下載正版軟件，避免從論壇等下載軟件，可以有效的減少該類病毒的侵害。關(guān)注”暗影實(shí)驗(yàn)室”公眾號(hào)，獲取新實(shí)時(shí)移動(dòng)安全狀態(tài)，避免給您造成損失和危害。
為防止病毒變種，用戶發(fā)現(xiàn)已經(jīng)安裝此病毒的，可以請(qǐng)專業(yè)人員分析此病毒。
安需要做到防患于未然，可以使用恒安嘉新公司的APP威脅檢測(cè)與態(tài)勢(shì)分析平臺(tái)進(jìn)行分析對(duì)Android樣本提取信息并進(jìn)行關(guān)聯(lián)分析和檢測(cè)；
用戶發(fā)現(xiàn)感染手機(jī)病毒軟件之后，可以向“12321網(wǎng)絡(luò)不良與垃圾信息舉報(bào)受理中心”或“反網(wǎng)絡(luò)病毒聯(lián)盟”進(jìn)行舉報(bào)，使病毒軟件能夠時(shí)間被查殺和攔截。
聲明
本報(bào)告內(nèi)容不代表任何企業(yè)或任何機(jī)構(gòu)的觀點(diǎn)，僅是作者及所在團(tuán)隊(duì)作為技術(shù)愛好者在工作之余做的一些嘗試性研究和經(jīng)驗(yàn)分享。
本報(bào)告雖是基于技術(shù)團(tuán)隊(duì)認(rèn)為可靠的信息撰寫，團(tuán)隊(duì)力求但不保證該信息的準(zhǔn)確性和完整性，讀者也不應(yīng)該認(rèn)為該信息是準(zhǔn)確和完整的。這是主要是因?yàn)槿缦乱恍├碛桑òǖ幌抻冢?br/>，互聯(lián)網(wǎng)的數(shù)據(jù)無(wú)處不在，我們所能接觸到的是極為有限的抽樣樣本，本身不具備完整性。
第二，不同的技術(shù)方法獲取的數(shù)據(jù)有一定的局限性。比如，終端agent獲取的數(shù)據(jù)只能涵蓋已部署終端的范圍；爬蟲技術(shù)的時(shí)效性和完整性受限于爬蟲的規(guī)模和能力；網(wǎng)絡(luò)側(cè)探針技術(shù)受限部署探針的節(jié)點(diǎn)數(shù)量并只能對(duì)活躍的行為進(jìn)行感知。
第三，即使已經(jīng)納入到分析范圍的樣本，也會(huì)由于技術(shù)團(tuán)隊(duì)規(guī)則和算法的選擇造成統(tǒng)計(jì)結(jié)論偏差。
第四，技術(shù)團(tuán)隊(duì)所得出的結(jié)論僅僅反映其數(shù)字本身，進(jìn)一步主觀得出優(yōu)劣性的、排名性的、結(jié)論性的觀點(diǎn)是危險(xiǎn)的。因?yàn)榘踩录殡S著業(yè)務(wù)的良性增長(zhǎng)，開放程度，法律法規(guī)以及黑色產(chǎn)業(yè)鏈的演進(jìn)等多方面的因素，是一個(gè)復(fù)雜的生態(tài)問(wèn)題。
此外，團(tuán)隊(duì)不保證文中觀點(diǎn)或陳述不會(huì)發(fā)生任何變更，在不同時(shí)期，團(tuán)隊(duì)可發(fā)出與本報(bào)告所載資料、意見及推測(cè)不一致的報(bào)告。團(tuán)隊(duì)會(huì)適時(shí)更新相關(guān)的研究，但可能會(huì)因某些規(guī)定而無(wú)法做到。
后，即使未經(jīng)作者的書面授權(quán)許可，任何人也可以引用、轉(zhuǎn)載以及向第三方傳播。但希望同時(shí)能附上完整的原文或至少原始出處。這樣的考慮在于：，避免選擇性的部分引用造成的不必要的誤解；其次，避免某些內(nèi)容的錯(cuò)誤經(jīng)原作者發(fā)現(xiàn)并及時(shí)調(diào)整后沒(méi)有體現(xiàn)在轉(zhuǎn)載的文中。