吃瓜群眾一看到朝鮮黑客被點(diǎn)名，就開始編織出無數(shù)版本的猜測(cè)和故事，誰關(guān)注那個(gè)“或”字。

“或”就是可能有，可能沒有。

這種“莫須有”毫無實(shí)證的“鍋”當(dāng)年可是害死過一位著名歷史人物的。

　　不過，對(duì)一些人而言，只要不是點(diǎn)名中國，說誰都行。

可是，6月8日卡巴斯基發(fā)布了一份報(bào)告，報(bào)告名為《Dvmap: the first Android malware with code injection》（《Dvmap：第一種具備代碼注入能力的安卓惡意軟件》）該報(bào)告指出，卡巴斯基分析了一種對(duì)Android系統(tǒng)平臺(tái)運(yùn)行庫進(jìn)行惡意代碼注入的惡意軟件樣本，然后在報(bào)告中提及該惡意軟件所包含的“.root_sh”腳本文件中存在中文注釋。

隱隱約約就是在說：腳本文件居然有中文注釋，哎呀，是誰做的呢？

人在家中坐，鍋從天上來。

　　也許是注意到這一點(diǎn)，中國安全研究員火速開展了深度分析。

雷鋒網(wǎng)宅客頻道（微信ID：letshome）編輯發(fā)現(xiàn)，微信公眾號(hào)“安天移動(dòng)安全”6月9日發(fā)了一份《關(guān)于“Dvmap”安卓惡意軟件分析報(bào)告》，對(duì)此樣本進(jìn)行了進(jìn)一步分析。

撲朔迷離：“罪犯”隱匿真實(shí)時(shí)間

首先，我們來看看，這個(gè)安卓惡意軟件到底能干什么。

這個(gè) com.colourblock.flood.apk偽裝成名為“colourblock”的解密游戲，在 Google Play 進(jìn)行發(fā)布下載。

　　既然是人畜無害，那么肯定不會(huì)讓你“明眼”看出來它其實(shí)是個(gè)小惡魔。

但是，這個(gè)惡意軟件會(huì)根據(jù)植入終端系統(tǒng)版本、cpu類型等信息，解密其內(nèi)嵌的惡意文件“Game*.res"。呵呵噠，還能根據(jù)手機(jī)自適應(yīng)呢！

最終，由這個(gè)惡意文件解析后釋放的文件開始“張牙舞爪”試圖偽裝為高通的時(shí)間服務(wù)程序，其主要作用為與遠(yuǎn)控服務(wù)器通信并執(zhí)行遠(yuǎn)控任務(wù)。

也就是遠(yuǎn)程操控你的手機(jī)！

然后你要問了：當(dāng)我大谷歌是吃干飯的么？為什么沒有檢測(cè)出來？

　　因?yàn)檫@款惡意軟件特別狡猾，在攻防戰(zhàn)斗中應(yīng)該是根老油條了。

這個(gè)惡意軟件 colourblock 在3月下旬起，就采用了在同一天內(nèi)交替上傳該軟件的惡意版本與無害版本得方法，借以繞過了 Google Play 對(duì)其進(jìn)行安全性檢查的方式，而且一直利用 Google Play 市場(chǎng)進(jìn)行分發(fā)。還借由此種方法多次上傳其惡意版本及對(duì)其惡意載荷的加密處理，自3月下旬起至被卡巴斯基公司舉報(bào)下架為止，該惡意軟件已被累積下載超過 50000 次。

安全人員還分析發(fā)現(xiàn)，這個(gè)惡意代碼的開發(fā)者有一定反偵察自我保護(hù)能力，對(duì)惡意樣本實(shí)施了部分保護(hù)措施，如隱匿 apk 生成時(shí)間， 在生成 apk 時(shí)修改系統(tǒng)本地時(shí)間，導(dǎo)致解包 apk 文件獲取到的生成時(shí)間為 1979 年。

這就如同罪犯在警察破案中隱匿真實(shí)作案時(shí)間。

不過，守方老司機(jī)也不是吃素的，他們通過一些方法，挖掘出了該惡意軟件的真實(shí)制作時(shí)間為 2017年4月18 日，進(jìn)而為后續(xù)的“破案”提供了必要的真實(shí)數(shù)據(jù)依據(jù)。

卡巴斯基認(rèn)為有中國元素，然而真相是……

先暫停一下破案，卡巴斯基為什么認(rèn)為和中國有關(guān)？

原來，在惡意樣本的多個(gè)bin文件里均出現(xiàn)“kinguser.apk”信息，可以推測(cè)該惡意樣本使用了中國開發(fā)者所開發(fā)的 kingroot 工具的 exp 程序用于提權(quán)。

但是，守方老司機(jī)在發(fā)現(xiàn)真實(shí)制作時(shí)間后，謎團(tuán)陸續(xù)被解開。

證據(jù)一

安全人員發(fā)現(xiàn)，該惡意軟件從初次上傳到Google Play起截至今日，在被成功植入惡意樣本的 965 臺(tái)終端中，分布于印度尼西亞與印度的數(shù)量分別為 220 臺(tái)與 128 臺(tái)，占比分別為 22.79 %與 13.26 %，排第三的為加拿大，其被植入惡意樣本的終端數(shù)量?jī)H為 48 臺(tái)，印度尼西亞區(qū)域內(nèi)被植入惡意樣本的終端數(shù)量在統(tǒng)計(jì)范圍中占明顯優(yōu)勢(shì)。

證據(jù)二

惡意樣本載荷的樣本數(shù)據(jù)初次采集時(shí)間為 4 月19日，植入終端所在位置為德國，但經(jīng)深度分析后發(fā)現(xiàn)該樣本運(yùn)行環(huán)境為Remix OS For PC安卓模擬器，且其實(shí)際連入互聯(lián)網(wǎng)方式為使用安全公司Avira的德國VPN服務(wù)器，因此具備較大的病毒測(cè)試設(shè)備嫌疑。由此可見，載荷植入終端早期數(shù)據(jù)中的第一臺(tái)終端所在位置，有較大幾率處于印度尼西亞。

證據(jù)三

有一個(gè)證據(jù)還不夠，安全領(lǐng)域的老“警察”又發(fā)現(xiàn)：

根據(jù)對(duì)惡意樣本 colourblock 的 Google Play 市場(chǎng)緩存及全球其他分發(fā)來源的頁面留存信息，得到 Retgumhoap Kanumep為該惡意樣本聲明的作者姓名，但通過全網(wǎng)搜索與大數(shù)據(jù)碰撞比對(duì)，并不存在以該姓名發(fā)布的其他軟件與該姓名相關(guān)的任何網(wǎng)絡(luò)信息。

通過對(duì)該姓名Retgumhoap Kanumep的解讀分析，發(fā)現(xiàn)將其姓“Kanumep”各字母從右至左逆序排列則為Pemunak，即印度尼西亞語“軟件”之意。

證據(jù)四

對(duì)其名字“Retgumhoap”進(jìn)行分詞為“Retg-umhoap”，由于“retg-”前綴為“return（返回）”之意，故嘗試將“umhoap”字母排列逆時(shí)針轉(zhuǎn)動(dòng)180度，得到了單詞“deoywn”。對(duì)單詞“deoywn”進(jìn)行全網(wǎng)搜索可知，曾有機(jī)器人程序使用郵箱 [email protected]在大量互聯(lián)網(wǎng)站留言板頁面自動(dòng)發(fā)布留言：

【圖片來源：安天移動(dòng)安全】

對(duì)該郵箱ID “bkueunclpa”進(jìn)行語言識(shí)別，得知其為印度尼西亞方言。

證據(jù)五

還有一個(gè)證據(jù)是，該惡意樣本載荷向位于亞馬遜云的頁面接口回傳數(shù)據(jù)，該頁面域名中包含“d3pritf0m3bku5”字樣，經(jīng)分析，即“de pritfomebkus”，用 Google 翻譯識(shí)別其語種，仍為印度尼西亞方言。

至此，似乎真相大白！

據(jù)安全人員的判斷：

初步認(rèn)為在卡巴斯基原分析報(bào)告中專門提及的中文代碼注釋問題，應(yīng)只是該惡意軟件編寫者直接使用了中國開發(fā)者編寫的Kingroot腳本，而非直接與中國惡意軟件開發(fā)者產(chǎn)生明顯聯(lián)系。

而通過惡意樣本及開發(fā)者信息的語言特征判斷，該惡意軟件有較大幾率與印度尼西亞開發(fā)者存在直接關(guān)系；另外，由于該惡意軟件并沒有在任何社交網(wǎng)站進(jìn)行推廣的網(wǎng)絡(luò)記錄，僅通過應(yīng)用市場(chǎng)分發(fā)，因此其早期推廣與分發(fā)行為，較大幾率由惡意軟件開發(fā)者就近在自身網(wǎng)絡(luò)社交范圍內(nèi)通過其他手段進(jìn)行，結(jié)合該惡意軟件在早期植入的移動(dòng)終端地域分布情況和整體總量植入移動(dòng)終端地域分布情況，可以認(rèn)為印度尼西亞有較大可能是該惡意軟件的開發(fā)者所在地和主要受害者集中地域。

感覺活脫脫在網(wǎng)絡(luò)安全界上演了一次老刑警與狡猾罪犯斗智斗勇的大戲，看了安全人員的分析，好想獻(xiàn)上膝蓋。

注：如果你想看更詳細(xì)的技術(shù)分析，可以自行搜索安天移動(dòng)安全的《關(guān)于“Dvmap”安卓惡意軟件分析報(bào)告》，本文相關(guān)數(shù)據(jù)及分析結(jié)論均參考于此。