當(dāng)前位置：安全 → 企業(yè)動(dòng)態(tài) → 正文

超強(qiáng)惡意軟件現(xiàn)谷歌商店卡巴斯基甩鍋中國(guó)被打臉

責(zé)任編輯：editor004 作者：李勤 |來(lái)源：企業(yè)網(wǎng)D1Net 2017-06-10 17:22:56 本文摘自：雷鋒網(wǎng)

我們只知道，卡巴斯基愛(ài)點(diǎn)名朝鮮黑客，比如，上次那波聞名全球的勒索病毒，它就站出來(lái)說(shuō)：

幕后真兇或來(lái)自朝鮮！

吃瓜群眾一看到朝鮮黑客被點(diǎn)名，就開(kāi)始編織出無(wú)數(shù)版本的猜測(cè)和故事，誰(shuí)關(guān)注那個(gè)“或”字。

“或”就是可能有，可能沒(méi)有。

這種“莫須有”毫無(wú)實(shí)證的“鍋”當(dāng)年可是害死過(guò)一位著名歷史人物的。

　　不過(guò)，對(duì)一些人而言，只要不是點(diǎn)名中國(guó)，說(shuō)誰(shuí)都行。

可是，6月8日卡巴斯基發(fā)布了一份報(bào)告，報(bào)告名為《Dvmap: the first Android malware with code injection》（《Dvmap：第一種具備代碼注入能力的安卓惡意軟件》）該報(bào)告指出，卡巴斯基分析了一種對(duì)Android系統(tǒng)平臺(tái)運(yùn)行庫(kù)進(jìn)行惡意代碼注入的惡意軟件樣本，然后在報(bào)告中提及該惡意軟件所包含的“.root_sh”腳本文件中存在中文注釋。

隱隱約約就是在說(shuō)：腳本文件居然有中文注釋，哎呀，是誰(shuí)做的呢？

人在家中坐，鍋從天上來(lái)。

　　也許是注意到這一點(diǎn)，中國(guó)安全研究員火速開(kāi)展了深度分析。

雷鋒網(wǎng)宅客頻道（微信ID：letshome）編輯發(fā)現(xiàn)，微信公眾號(hào)“安天移動(dòng)安全”6月9日發(fā)了一份《關(guān)于“Dvmap”安卓惡意軟件分析報(bào)告》，對(duì)此樣本進(jìn)行了進(jìn)一步分析。

撲朔迷離：“罪犯”隱匿真實(shí)時(shí)間

首先，我們來(lái)看看，這個(gè)安卓惡意軟件到底能干什么。

這個(gè)com.colourblock.flood.apk偽裝成名為“colourblock”的解密游戲，在Google Play進(jìn)行發(fā)布下載。

　　既然是人畜無(wú)害，那么肯定不會(huì)讓你“明眼”看出來(lái)它其實(shí)是個(gè)小惡魔。

但是，這個(gè)惡意軟件會(huì)根據(jù)植入終端系統(tǒng)版本、cpu類(lèi)型等信息，解密其內(nèi)嵌的惡意文件“Game*.res"。呵呵噠，還能根據(jù)手機(jī)自適應(yīng)呢！

最終，由這個(gè)惡意文件解析后釋放的文件開(kāi)始“張牙舞爪”試圖偽裝為高通的時(shí)間服務(wù)程序，其主要作用為與遠(yuǎn)控服務(wù)器通信并執(zhí)行遠(yuǎn)控任務(wù)。

也就是遠(yuǎn)程操控你的手機(jī)！

然后你要問(wèn)了：當(dāng)我大谷歌是吃干飯的么？為什么沒(méi)有檢測(cè)出來(lái)？

　　因?yàn)檫@款?lèi)阂廛浖貏e狡猾，在攻防戰(zhàn)斗中應(yīng)該是根老油條了。

這個(gè)惡意軟件colourblock在3月下旬起，就采用了在同一天內(nèi)交替上傳該軟件的惡意版本與無(wú)害版本得方法，借以繞過(guò)了Google Play對(duì)其進(jìn)行安全性檢查的方式，而且一直利用Google Play市場(chǎng)進(jìn)行分發(fā)。還借由此種方法多次上傳其惡意版本及對(duì)其惡意載荷的加密處理，自3月下旬起至被卡巴斯基公司舉報(bào)下架為止，該惡意軟件已被累積下載超過(guò)50000次。

安全人員還分析發(fā)現(xiàn)，這個(gè)惡意代碼的開(kāi)發(fā)者有一定反偵察自我保護(hù)能力，對(duì)惡意樣本實(shí)施了部分保護(hù)措施，如隱匿apk生成時(shí)間， 在生成apk時(shí)修改系統(tǒng)本地時(shí)間，導(dǎo)致解包apk文件獲取到的生成時(shí)間為1979年。

這就如同罪犯在警察破案中隱匿真實(shí)作案時(shí)間。

不過(guò)，守方老司機(jī)也不是吃素的，他們通過(guò)一些方法，挖掘出了該惡意軟件的真實(shí)制作時(shí)間為2017年4月18日，進(jìn)而為后續(xù)的“破案”提供了必要的真實(shí)數(shù)據(jù)依據(jù)。

卡巴斯基認(rèn)為有中國(guó)元素，然而真相是……

先暫停一下破案，卡巴斯基為什么認(rèn)為和中國(guó)有關(guān)？

原來(lái)，在惡意樣本的多個(gè)bin文件里均出現(xiàn)“kinguser.apk”信息，可以推測(cè)該惡意樣本使用了中國(guó)開(kāi)發(fā)者所開(kāi)發(fā)的kingroot工具的exp程序用于提權(quán)。

但是，守方老司機(jī)在發(fā)現(xiàn)真實(shí)制作時(shí)間后，謎團(tuán)陸續(xù)被解開(kāi)。

證據(jù)一

安全人員發(fā)現(xiàn)，該惡意軟件從初次上傳到Google Play起截至今日，在被成功植入惡意樣本的965臺(tái)終端中，分布于印度尼西亞與印度的數(shù)量分別為220臺(tái)與128臺(tái)，占比分別為22.79 %與13.26 %，排第三的為加拿大，其被植入惡意樣本的終端數(shù)量?jī)H為48臺(tái)，印度尼西亞區(qū)域內(nèi)被植入惡意樣本的終端數(shù)量在統(tǒng)計(jì)范圍中占明顯優(yōu)勢(shì)。

證據(jù)二

惡意樣本載荷的樣本數(shù)據(jù)初次采集時(shí)間為4月19日，植入終端所在位置為德國(guó)，但經(jīng)深度分析后發(fā)現(xiàn)該樣本運(yùn)行環(huán)境為Remix OS For PC安卓模擬器，且其實(shí)際連入互聯(lián)網(wǎng)方式為使用安全公司Avira的德國(guó)VPN服務(wù)器，因此具備較大的病毒測(cè)試設(shè)備嫌疑。由此可見(jiàn)，載荷植入終端早期數(shù)據(jù)中的第一臺(tái)終端所在位置，有較大幾率處于印度尼西亞。

證據(jù)三

有一個(gè)證據(jù)還不夠，安全領(lǐng)域的老“警察”又發(fā)現(xiàn)：

根據(jù)對(duì)惡意樣本colourblock的Google Play市場(chǎng)緩存及全球其他分發(fā)來(lái)源的頁(yè)面留存信息，得到Retgumhoap Kanumep為該惡意樣本聲明的作者姓名，但通過(guò)全網(wǎng)搜索與大數(shù)據(jù)碰撞比對(duì)，并不存在以該姓名發(fā)布的其他軟件與該姓名相關(guān)的任何網(wǎng)絡(luò)信息。

通過(guò)對(duì)該姓名Retgumhoap Kanumep的解讀分析，發(fā)現(xiàn)將其姓“Kanumep”各字母從右至左逆序排列則為Pemunak，即印度尼西亞語(yǔ)“軟件”之意。

證據(jù)四

對(duì)其名字“Retgumhoap”進(jìn)行分詞為“Retg-umhoap”，由于“retg-”前綴為“return（返回）”之意，故嘗試將“umhoap”字母排列逆時(shí)針轉(zhuǎn)動(dòng)180度，得到了單詞“deoywn”。對(duì)單詞“deoywn”進(jìn)行全網(wǎng)搜索可知，曾有機(jī)器人程序使用郵箱[email protected]在大量互聯(lián)網(wǎng)站留言板頁(yè)面自動(dòng)發(fā)布留言：

　　【圖片來(lái)源：安天移動(dòng)安全】

對(duì)該郵箱ID “bkueunclpa”進(jìn)行語(yǔ)言識(shí)別，得知其為印度尼西亞方言。

證據(jù)五

還有一個(gè)證據(jù)是，該惡意樣本載荷向位于亞馬遜云的頁(yè)面接口回傳數(shù)據(jù)，該頁(yè)面域名中包含“d3pritf0m3bku5”字樣，經(jīng)分析，即“de pritfomebkus”，用Google翻譯識(shí)別其語(yǔ)種，仍為印度尼西亞方言。

至此，似乎真相大白！

據(jù)安全人員的判斷：

初步認(rèn)為在卡巴斯基原分析報(bào)告中專門(mén)提及的中文代碼注釋問(wèn)題，應(yīng)只是該惡意軟件編寫(xiě)者直接使用了中國(guó)開(kāi)發(fā)者編寫(xiě)的Kingroot腳本，而非直接與中國(guó)惡意軟件開(kāi)發(fā)者產(chǎn)生明顯聯(lián)系。

而通過(guò)惡意樣本及開(kāi)發(fā)者信息的語(yǔ)言特征判斷，該惡意軟件有較大幾率與印度尼西亞開(kāi)發(fā)者存在直接關(guān)系；另外，由于該惡意軟件并沒(méi)有在任何社交網(wǎng)站進(jìn)行推廣的網(wǎng)絡(luò)記錄，僅通過(guò)應(yīng)用市場(chǎng)分發(fā)，因此其早期推廣與分發(fā)行為，較大幾率由惡意軟件開(kāi)發(fā)者就近在自身網(wǎng)絡(luò)社交范圍內(nèi)通過(guò)其他手段進(jìn)行，結(jié)合該惡意軟件在早期植入的移動(dòng)終端地域分布情況和整體總量植入移動(dòng)終端地域分布情況，可以認(rèn)為印度尼西亞有較大可能是該惡意軟件的開(kāi)發(fā)者所在地和主要受害者集中地域。

感覺(jué)活脫脫在網(wǎng)絡(luò)安全界上演了一次老刑警與狡猾罪犯斗智斗勇的大戲，看了安全人員的分析，好想獻(xiàn)上膝蓋。