首页 体育世界正文

手机号码,流量e魔病毒剖析陈述,巴霍巴利王

前语:

近期,腾讯安全实验室捕获一款在用户设备上有反常流量拜访运用,此木马在用户设备上存在私自获取设备信息,用户行为隐私数据,后台频频拜访网络恳求,云控方法下发刷量插件行为,经过安全人员分析,这批软件归于新发病毒,经过创立低像素窗体让用户难以发觉,一切屏幕接触,滑动事情会一起呼应到躲藏窗体,模仿实在用户网页阅读行为,一起分析用户行为数手机号码,流量e魔病毒分析陈说,巴霍巴利王据诈骗广告主流量核算反做弊算法,完结变相流量诈骗意图,经过视频广告刷量,CPD下载量,周期性拉新服务,赚取广告推行费用等,完结灰色牟利。

逃逸技能:

1.静态检测技能:包名,类名,方法名混杂成特殊符号,字符串躲藏未加密数组,每个类主动化生成不同的加密算法。

2.动态沙箱检测:多种设备状况监控,包括模仿器,流量分析东西,设备是否Root,网络署理分析软件检测,全面辨认

非实在用户运转环境。

3.云服务逃逸:将歹意功用剥离成补丁文件并存储在云服务器,经过云端下发热补丁修正计划,云端装备是否下发,在用户端履行歹意功用代码,能够绕过运用装置包检测和添加蜜罐分析的难度。

手机号码,流量e魔病毒分析陈说,巴霍巴利王

变现方法:

1.歹意推行运用:从云端获取运用推行使命,对不同用户推行运用。

2.电商途径引流:从云端获引流使命,控制中毒设备推行指定商家产品到用户。

3.视频点击量:刘世龙和刘尚娴的婚姻后台短时间频频发送很多网络恳求,针对抢手视频网站进行刷曝光量。

4.广告做弊刷量:多广告途径叠加,多种类型广告支撑刷量,模仿实在用户点击视视添加曝光量,下载,装置,更新等数据上报。

安全要挟:

关键词:首要损害触及隐私盗取,流量诈骗和云控作恶

一、歹意软件运转流程图

二、样本与感染用户数

2.1歹意运用首要经过下发歹意sdk刷量使命,动态加载的歹意功用模块,补丁等方法加载完结歹意功用,经过动态加载模块相关后台歹意样洛云霜本top15如下图:

2.2 6月至9月的感染用户改变趋势,均匀日影响上万用户。

三、对立方法分析 3.1静态检测技能逃逸

自写算法或常见对称算法对字符串进行加密,并在运转时还原为本来的字符串,对立安全检测

经过随机生成包名,类名等,根本归于同款歹意插件,防止安全软件查杀,相同的代码在几份sdk中运用了不同且无规律手机号码,流量e魔病毒分析陈说,巴霍巴利王的包名,代码类似度极高,便开端周期履行歹意功用并发动拉新服务。

3.2动态沙箱检测逃逸

针对http/https设置反署理计划,经过获取当时体系是否处于wifi署理,若署理的IP和Port与设备不一致,直接阻拦恳求及检测设备是否存在Root权限

3.3云服务逃逸技能

运用在运转过程中打补丁快捷的行为方法,相同赛肤康也带来安全隐患,彻底绕开运用商铺战略,补丁代码安全可想而知,在用户不知情的状况下做各种歹意行为,如用户隐私,监听用户行为数据收集等,如图下发补丁方法上报活泼流量

四、刷量事务范围

歹意运用会守时联网与服务器通讯,更新并加载最新的SDK歹意插件,根淳安县汪家桥村据流量监测状况,频频调整刷量功用及事务范围,该插件经过接纳与呼应服务器下发指令,后台躲藏履行多种做弊刷量推行事务,从而完结本身牟利,现在最新版别的做弊刷量推行事务包括查找、购物、新闻、视频、红包等多个范畴。

五、运用概况分析

歹意功用导图:

5.1母包代码结构:

恳求数据包括要履行的刷量,上报,检测等使命插件

恳求链接:d.b***net.com

恳求数据:网络类型,IMEI,type,model,IMSI,版别,手机品牌,体系版别等内容

回来内容:包括子包id,包名,子包下载url,软件名,描绘等

5.2注册/监控设备

歹意模块发动后,首要完结一下几个动作:

1.将软硬件根本行为信息,如硬件imei,netty手机号码,流量e魔病毒分析陈说,巴霍巴利王pe,version,andver,brand,model设备及监控视频状况,据POST提交到服务器来注册设备:p**.**.com

2.监控设备:上报用户操作设备数据,包括app_list 列表…

3.先拜访CNZZ的数据中心:z*.**.com设备id,估测此恳求是lwmmg用来核算感染的设备数量

4.发送设备数据到a.b**net.com来注册受害设备

1.将软硬件根本行为信息,如硬件imei,nettype,version,andver,brand,model设备及监控视频状况,据POST提交到服务器来注册设手机号码,流量e魔病毒分析陈说,巴霍巴利王备:p**.**.com

2.监控设备:上报用户操作设备数据,包括app_list 列表…

3.先拜访CNZZ的数据中心:z*.**.com设备id,估测此恳求是用来核算感染的设备数量

4.发送设备数据到a.b**net.com来注册受害设备

服务器呼应数据包:与初次装置该软件信息比照,用户更新的软件信息

5.3周期性拉新

经过随机包名插件,根本归于同款歹意拉新插件,代码类似度极高,代码中便开端周期履行歹意功用并发动拉新服务。

上报数据核算中心服务器,核算感染的设备数量

5.4刷视频曝光量

经过创立很难被发觉的1pdi像素webview窗体来播映视频,经过调用JS接口进行交互,一切接触,滑动事情会一起呼应到webView上,模仿点击webwiew网尚胜法页中操作,这样做就实在模仿到用户网页阅读行为,诈骗广告运营商的流量核算反做弊算法,来变相进行刷量的意图。

视频播映一段时间后,经过JS判别是否播映成功,来决议后续的使命履行逻辑

进犯视频网站搜狐,爱奇艺,youku,365yg,pptv等

运用js脚本刷视频点击量:

js函数监听页面操作播映,暂停,点击百魂灵约,中止

js函数核算页面元素相对方位,并进行滑动,点击操作

5.5电商产品引流

恳求内容包括:拉新运用包名,网络类型,IMEI,手机品牌,体系版别等内容

运用剪贴板功用,周期性的将口令写入到剪贴板中,这样当用户翻开电商app运用后,会主动引流对应的推行页面来完结指定淘宝网店引流

服务端呼应内容包括:淘宝口令,点击id,包名等

5.6关键字优化

优化季鹍之嗣产品关手机号码,流量e魔病毒分析陈说,巴霍巴利王键字和形容词,进行查找查哈迪斯冈布奥询,来诈骗查找引擎算法进步查找成果先后顺序

5.7刷下载量

产品曝光来按下载量计费,此歹意插件经过假造CPD下载量来到达不法牟利的意图

5.8 CNNZZ核算与广告后台

大部分由d.b**奎木狼下凡变成了谁*t.com域名下发的插件,均带有用于核算感染量链接,获取设备仅有标识信息包括,产品品牌,产品制造商,产品类型,设备类型柯震东终身禁演令等,终究指向CNZZ核算与广告核算后台

四、相关URL收拾

刑家军

五,黑产溯源

经过对相关信息溯源发现坐落深圳的两家黑产公司,溯源到的相关域名:php.**.com,log.**.com,v.**.com,ff.**.com

六、检测和防护主张

木马运用仿冒体系运用的软件名,恶神谈二五意行为对普通用户来说感知力十分弱,具有很强的隐蔽性,迷惑性强,此木马功用强大,用户设备一旦感染,逐步被暗地黑王效能被打产人员监控设备,并供给最新的歹意补丁,沦为黑产分子进行运用推行,视频盗刷,电商引流等虚伪的行为“肉鸡”。

针对普通用户怎么防止受此木马的损害,咱们对给出了如下防护主张:

1,不要装置非可信途径的运用、不要随互插意点击不明URL链接和扫描安全性不知道的二维码信息;

2,及时对设备进行安全更新;

3,装置腾讯手机管家等安全软件,实时进行维护;

4,若发现手机感染木马病毒,请及时运用安全软件进行整理,防止重复穿插感染。

1,不要装置非可信途径的运用、不要随意点击不明URL链接和扫描安全性不知道的二维码信息;

2,及时对设备进行安全更新;

3,装置腾讯手机管家等安全软件,实时进行维护;

4,若发现手机感染木马病毒,请及时运用安全软件进行整理,农门女财神防止重复穿插感染。

*本文作者:腾讯手机管家手机号码,流量e魔病毒分析陈说,巴霍巴利王,转载请注明来自FreeBuf.COM

申素毓
953385
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。