應用下載需警惕,“猜你妹”病毒潛伏應用市場伺機刷流氓應用

概述

遊戲猜的正嗨的時候,突然提示系統存在安全漏洞,嚇死本寶寶有沒有,在線等要不要修復? 小夥伴遇到此類提示可千萬別點,這是在騙你安裝惡意程序。

近期,騰訊移動安全實驗室和騰訊反詐騙實驗室就發現一款名爲”猜你妹”惡意遊戲應用潛伏於各大應用市場,在特定的條件下伺機誘騙用戶安裝惡意程序。

據騰訊移動安全實驗室和騰訊反詐騙實驗室安全工程師分析發現,該惡意遊戲應用通常將自己僞裝成個各種猜謎類應用,比如瘋狂猜明星、瘋狂猜明星2、看圖猜歇後語、猜歌TFboys等。

該病毒家族開發的應用特喜歡讓用戶猜一猜,應用本身的行爲反覆無常，看上去似乎隔斷時間就來作案一次。

（1）開發者更新樣本頻率快

在正常版本中摻雜惡意版本，打起“游擊戰”，企圖矇混應用市場。

開始安全---轉型病毒---恢復安全---繼續投毒---恢復安全：

（2）病毒的惡意行爲觸發路徑很深，飽含滿滿的套路

面對安全廠商的圍追堵截,開發者的猥瑣智慧就會不停的進化。該病毒樣本只有當用戶在特定時間玩到特定關卡的時候纔會”獎勵”用戶一款惡意廣告程序。

1、樣本行爲分析

惡意樣本文件com.*********r6.guess360.apk是一個猜明星的遊戲應用，運行界面如下：

爲了對抗反病毒軟件的檢測，該樣本的惡意行爲的觸發需要綜合判斷多個條件，代碼如下：

觸發條件：

（1）、this.e == 13，判斷當前的關卡數-1是否爲13

（2）、!g.b()，根據時間信息判斷當前時間是否符合觸發條件

（3）、判斷要安裝的應用是否已經安裝了

在滿足觸發條件後，樣本執行惡意行爲，提示用戶系統存在安全漏洞，並將assets目錄下的應用釋放安裝。代碼如下：

惡意行爲截圖如下：

安裝的惡意應用僞裝爲系統應用，軟件名爲Android，包名cvoo.wa.a，主要的惡意行爲是雲端下載root子包，root用戶手機，並含惡意廣告插件，在手機屏幕上匿名彈窗，推送浮窗廣告，嚴重影響用戶使用手機。

（1）、從雲端下載root子包，並解密加載，下載鏈接：http://52.52.***.56/checker，

root子包dex結構

root子包從雲端下載root方案，並執行root操作，root方案下載鏈接：

http:\\cdn.gam***.org\strategy\dev_root2

http:\\cdn.gam***..org\strategy\dev_root

http:\\cdn.gam***..org\strategy\UnknownDev

下載的root方案：

（2）、惡意應用在手機屏幕上匿名彈窗，推送浮窗廣告，嚴重影響用戶使用手機。

2、樣本迭代變化趨勢分析

騰訊移動安全實驗室和騰訊安全反詐騙實驗室利用自有的安全分析大數據平臺，對該惡意樣本進行了軟件包名、開發者證書、樣本hash值和傳播渠道等多維度進行分析，發現該惡意樣本從2015年3月起就開始在國內的各應用市場上傳播，至17年6月，該樣本已經從版本1.0.1迭代到1.6.4，每隔幾天就會上傳新的樣本到應用市場，其中樣本的惡意版本就混雜其中，藉以繞過應用市場對其進行的安全性檢測。

此包名和開發者證書下的應用的相關變化趨勢：

其中16年12月，騰訊反詐騙實驗室就發現了此樣本的一個惡意版本，該惡意版本在運行時從資源文件assets目錄下解密加載Root提權子包，上傳用戶的設備信息到遠程服務器，獲取相應的Root方案並進行Root提權行爲，提權成功後，頻繁下載推送應用，對用戶正常使用手機造成影響。而近期發現的新的惡意版本則採用了新的作惡方式，已在上節中進行了詳細介紹。

3、樣本影響面和相關的開發者證書MD5

根據分析，此類樣本的軟件名主要爲：瘋狂猜明星、瘋狂猜明星2、看圖猜歇後語、猜歌TFboys等，在國內幾大應用市場都有上架，且下載安裝量都達到了數十萬次，其中惡意樣本的感染用戶達到了數萬次。