概述

遊戲猜的正嗨的時候,突然提示系統存在安全漏洞,嚇死本寶寶有沒有,在線等要不要修復? 小夥伴遇到此類提示可千萬別點,這是在騙你安裝惡意程序。

近期,騰訊移動安全實驗室和騰訊反詐騙實驗室就發現一款名為”猜你妹”惡意遊戲應用潛伏於各大應用市場,在特定的條件下伺機誘騙用戶安裝惡意程序。

據騰訊移動安全實驗室和騰訊反詐騙實驗室安全工程師分析發現,該惡意遊戲應用通常將自己偽裝成個各種猜謎類應用,比如瘋狂猜明星、瘋狂猜明星2、看圖猜歇後語、猜歌TFboys等。

該病毒家族開發的應用特喜歡讓用戶猜一猜,應用本身的行為反復無常，看上去似乎隔斷時間就來作案一次。

（1）開發者更新樣本頻率快

在正常版本中摻雜惡意版本，打起“遊擊戰”，企圖蒙混應用市場。

開始安全---轉型病毒---恢復安全---繼續投毒---恢復安全：

（2）病毒的惡意行為觸發路徑很深，飽含滿滿的套路

面對安全廠商的圍追堵截,開發者的猥瑣智慧就會不停的進化。該病毒樣本只有當用戶在特定時間玩到特定關卡的時候才會”獎勵”用戶一款惡意廣告程序。

1、樣本行為分析

惡意樣本文件com.*********r6.guess360.apk是一個猜明星的遊戲應用，運行界面如下：

為了對抗反病毒軟件的檢測，該樣本的惡意行為的觸發需要綜合判斷多個條件，代碼如下：

觸發條件：

（1）、this.e == 13，判斷當前的關卡數-1是否為13

（2）、!g.b()，根據時間信息判斷當前時間是否符合觸發條件

（3）、判斷要安裝的應用是否已經安裝了

在滿足觸發條件後，樣本執行惡意行為，提示用戶系統存在安全漏洞，並將assets目錄下的應用釋放安裝。代碼如下：

惡意行為截圖如下：

安裝的惡意應用偽裝為系統應用，軟件名為Android，包名cvoo.wa.a，主要的惡意行為是雲端下載root子包，root用戶手機，並含惡意廣告插件，在手機屏幕上匿名彈窗，推送浮窗廣告，嚴重影響用戶使用手機。

（1）、從雲端下載root子包，並解密加載，下載鏈接：http://52.52.***.56/checker，

root子包dex結構

root子包從雲端下載root方案，並執行root操作，root方案下載鏈接：

http:\\cdn.gam***.org\strategy\dev_root2

http:\\cdn.gam***..org\strategy\dev_root

http:\\cdn.gam***..org\strategy\UnknownDev

下載的root方案：

（2）、惡意應用在手機屏幕上匿名彈窗，推送浮窗廣告，嚴重影響用戶使用手機。

2、樣本叠代變化趨勢分析

騰訊移動安全實驗室和騰訊安全反詐騙實驗室利用自有的安全分析大數據平臺，對該惡意樣本進行了軟件包名、開發者證書、樣本hash值和傳播渠道等多維度進行分析，發現該惡意樣本從2015年3月起就開始在國內的各應用市場上傳播，至17年6月，該樣本已經從版本1.0.1叠代到1.6.4，每隔幾天就會上傳新的樣本到應用市場，其中樣本的惡意版本就混雜其中，借以繞過應用市場對其進行的安全性檢測。

此包名和開發者證書下的應用的相關變化趨勢：

其中16年12月，騰訊反詐騙實驗室就發現了此樣本的一個惡意版本，該惡意版本在運行時從資源文件assets目錄下解密加載Root提權子包，上傳用戶的設備信息到遠程服務器，獲取相應的Root方案並進行Root提權行為，提權成功後，頻繁下載推送應用，對用戶正常使用手機造成影響。而近期發現的新的惡意版本則采用了新的作惡方式，已在上節中進行了詳細介紹。

3、樣本影響面和相關的開發者證書MD5

根據分析，此類樣本的軟件名主要為：瘋狂猜明星、瘋狂猜明星2、看圖猜歇後語、猜歌TFboys等，在國內幾大應用市場都有上架，且下載安裝量都達到了數十萬次，其中惡意樣本的感染用戶達到了數萬次。

4、背景溯源

（1）“猜xx”遊戲開發者信息

此樣本主要是在國內各應用市場上傳播，通過比較樣本在應用市場上的上架信息，可以看出此類應用的開發公司主要是深圳市****科技有限公司，其主要法人為胡某軍。

（2）惡意子包相關信息

根據ROOT模塊中解密出來的url鏈接進行了溯源分析，主要URL為：http://cdn.game***.org，根據域名註冊的聯系人進行查詢，相關企業信息整理如下：

主要產品都是仿冒熱門的遊戲軟件，且都具有流氓廣告和惡意推廣功能。

5、安全建議

（1）國內各應用市場應完善自身的應用安全性檢測機制，定期對應用的安全性進行檢查；

（2）應用市場應規範對應用開發者的管理，對於惡意應用的開發者應采取一定的管理措施。

6、關於騰訊反詐騙實驗室

騰訊移動安全實驗室和騰訊安全反詐騙實驗室匯聚國際最頂尖白帽黑客和多位騰訊專家級大數據人才，專註反詐騙技術和安全攻防體系研究。反詐騙實驗室擁有全球最大安全雲數據庫並服務99%中國網民。

本文出自 “騰訊手機管家” 博客，請務必保留此出處http://10812547.blog.51cto.com/10802547/1942022

應用下載需警惕,“猜你妹”病毒潛伏應用市場伺機刷流氓應用