首页安全播报安全快讯 › Android辅助类病毒研究报告

Android辅助类病毒研究报告

2018-05-24

前言

近期,腾讯反诈骗实验通过AI引擎聚类关联发现,恶意利用Android辅助功能,究其原因是,从市场反馈来看,由于没有足够的安全意识,导致辅助功能被恶意使用,及诱导用户开启辅助功能,导致来历不明的软件自动安装到手机,危害用户财产和隐私安全,从Accessibility辅助功能初衷,原理,使用场景等不同角度研究安全性。

u恶意利用辅助功能的软件包含Accessibility权限的风险样本,占含有辅助功能软件的12.06%,在2017下半年~2018上半年,其中2月~3月增长最为迅速的风险软件是诱导分享风险软件。

u基于用户需求和行为,以及采用黑客社会工程学,黑产利用其开发多款带有潜在威胁的辅助软件,威胁设备安全。

u恶意利用辅助功能的风险软件,诱导分享,流氓推广,隐私窃取病毒软件,分别占比 47%,17%,16%。

uAccessibility 辅助功能恶意利用的主要场景如下:

(1)银行木马,拦截用户输入的敏感信息,如:验证码,短信内容等

(2)窃取用户隐私,截获用户,如:短信,通讯录,联系人记录等个人重要隐私。

(3)应用推广,自动化推广安装垃圾应用。

(4)游戏外挂,控制游戏流程。

 

第一部分 Accessibility发展

1.1 辅助功能由来    

依据Google官方文档显示,为帮助到一些身体特殊的用户不能很好的使用设备, 比如,视力,动作,年龄,声音等方面的限制给用户在阅读内容,触屏操作,声音控制等发面造成困扰,因此Android提供Accessibility辅助帮助用户更好的使用Android设备。


1.2 Accessibility正常使用场景

Accessibility主要功能面向动作,视力,听力身体特殊用户群体,例如:如果有人在烹饪时使用您的应用程序,则可以使用语音命而不是触摸手势进行导航;正在驾驶的用户,正照顾小孩子或参加一个非常吵闹的聚会;行动不便用户;遭遇疾病,麻痹症、脑瘫肌肉萎缩性等患者,在不修改源码情况下,满足很好使用Android设备的需求,而开发手机辅助功能。由此可见Accessibility无障碍服务面向特殊群体的功能,对开发者也是很好的服务。如:小米手机开启辅助功能步骤:设置>其他高级设置>辅助功能>开启(关闭)响应辅助功能:

 

1.3 Accessibility运行原理

Accessibility相关接口,Android 1.6时期就已经加入,其中AccessibilityService(辅助功能)组件为入口,处理响应事件的方法,树结构等关键方法完成辅助功能,其中树结构方法(Android 4.0以后加入),在设置中手动关闭或者通过服务本身关闭,此服务与一般服务不同几点。

(1)该服务权限,如下图,该权限保证服务只能有系统绑定调用


(2)该服务需要AccessiblityService无障碍服务


(3)AndroidManifest清单文件的Service标签中提供一个meta-data标签,且需要提供AccessiblityService的配置文件,通过此文件指定相应的事件类型,反馈类型等内容,比如:声音反馈,触觉反馈,视觉反馈等

 

1.4 Android辅助功能权限及新增功能作用


 

第二部分Accessibility恶意利用

2.1恶意利用Accessibility技术总结

设计Accessibility辅助功能服务,包括无障碍服务、辅助功时,市场反馈来看,没有足够的安全防护意识,甚至由于服务置于后台,对用户没有交互,用户很少发现辅助功能的存在,形成了如今滥用Accessibility的情况。


2.2恶意利用辅助功能分类占比

据大数据显示,滥用辅助功能家族主要集中在:灰色病毒为主,其次流氓行为和隐私窃取行为,其中风险软件中诱导分享类软件占比最高,占到病毒家族总数的47%,其次为流氓行为占比17%,辅助外挂占比:16%。


2.3恶意利用辅助功能病毒家族占比

恶意利用辅助功能的病毒家族是:诱导分享、流氓行为和辅助外挂病毒为主。


2.4恶意利用Accessibility趋势

通过视图可以发现,在2017末季~2018年春季,其中2月~3月增长最为迅猛的为,诱导分享类病毒,3月以后迅速下降,据合理、推测,临近春节黑产出没频繁,利用节日搞“营销”活动,急需辅助类软件宣传推广,节日末期开始呈下降趋势。

 

 

第三部分恶意利用场景

基于用户需求和行为,以及采用黑客社会工程学,开发多款带有潜在威胁的辅助软件,威胁设备安全,大致可分为几个用场景阐述,比如:群控系统,流量分发,隐私盗取,非法游戏辅助几个主要利用场景展开阐述。


3.1群控系统

主要在社交软件群控场景下,是在群控系统基础上,针对社交软件定制化,批量模拟正常用户操作软硬件集成系统,它群控系统软件加各种批量模拟脚本的手段,完成微信批量操作,规避微信产品规则,对抗微信风控技术策略,辅助黑产人员实现各种各样的“营销”效果,其本质是一种新型的、高级的社交软件黑灰产变现和导流实现工具。

群控运作流程图:


3.2流量分发场景

恶意使用Accessibility服务,比如“WIFI链接器”的应用,启动后诱导用户开启WiFi加速服务,其实就是开启恶意应用自身的辅助服务,而该恶意应用的AccessibilityService一旦被启动,随后应用弹出恶意广告界面,即使受害者关闭弹出的广告,这个过程是调用系统的安装,获取安装界面的按钮位置,Accessibility提供的模拟用户点击功能,代替用户自动点击下一步,直到安装结束。下图是弹出的广告图,触碰后即可开始下载安装推广的应用。


功能运作流程图


详细代码分析:

(1)恶意应用在wif列表模块,正是利用继承AccessiblityService服务的wifiZengQiangService增强服务,诱导开启一键加速,实际是诱导用户安装推广软件。


(2)该恶意应用的AccessibilityService一旦被启动,随后应用弹出恶意广告界面,模拟用户点击,即使用户关闭弹出的广告,该应用程序也会被自动下载,随后成功安装。


(3)私自上传上传设备wifiMac,imei,appid等设备信息,并解析应用下载推广应用和恶意广告弹窗,获取带推送安装包信息,下载安装垃圾app。


3.3蹭热点事件场景

披着华丽外衣的狼,利用用一些游戏玩家急需预约《大吉大利,今晚吃鸡》,《绝地求生》,《王者荣耀》等热门游戏辅助软件开发多  款木马病毒,以锁屏,恶意扣费,捆绑恶意代码等方式来感染用户手机,勒索用户钱财。

恶意软件研发及制作传播流程:


比如“绝地求生辅助”软件,其实伪装的勒索手机病毒,启动后强制将自身界面置于设备屏幕上或者修改设备PIN码锁屏,同时被勒索用户添加勒索者微信支付50元金额,寻求解锁密码。


病毒运作流程图:


详细代码分析:

(1)应用启动后,诱导用户激活设备管理器,提高病毒权限


(2)病毒激活设备管理后,同时后台实时监听短信内容


(3)接收短信指令执行恶意行为,程序在运行的时候接受的短信进行监听,当控制方发来短信时,会对短信内容解析获取指令信息,并控制手机执行相应的恶意操作,控制方手机发来的短信指令信息,如判断接受到LOOk指令,并且通知控制方木马到期时间。


(4)该指令对应的恶意操作如下表格


(5)通过邮件方式取得用户密码,向指定联系人发送指定短信内容,比如钓鱼短信,推送木马短信等


3.4游戏作弊场景

修改内存型辅助软件,基于官方游戏APP,属于动态修改游戏业务逻辑,这类外挂往往会向游戏进程中注入第三方恶意模块,并且还伴随着诱导分享传播感染更多用户,然后通过修改代码的逻辑、修改内存中的数值等手段达到游戏人物位置,移动加血、抢无后坐,敌人位置等,增加血量等,此类辅助软件会极大的破坏游戏的平衡性。


修改游戏辅助运行流程:


3.5社交辅助软件应用场景

近日,“嗮”微信小程序游戏排名,游戏段位,成为了许多人朋友圈的新潮流,因此,一款名为“最强弹一弹”,“头脑王者秘籍”App也应时而生,成为了各大安卓应用市场的下载热门,这款App可直接对游戏的段位与星级进行修改,瞬间就能让你pk掉所有微信好友,堪称“朋友圈集赞神器”,不过在修改等级的同时,隐私和财产的潜在危机也随之悄然而至。


这款APP虽然能修改“头脑王者”段位,但自己的电话费也开始不翼而飞,部分用户甚至在短短十几分钟之内就莫名的订购各种游戏业务,被扣20元短信和订阅其他产品产生更多费用。


所谓的“最强弹一弹秘籍”,“头脑王者秘籍”,本质上只是恶意吸费的木马程序。用户一旦不慎下载安装到手机,恶意收费平台就会自动发送订阅各类增值产品的信息,并通过各种垃圾信息来对用户进行骚扰。这类App的开发者通常会先在运营商处开发一款增值产品,随后在app中植入木马程序,让用户手机完成对产品的自动订阅,最终通过运营商的分成来实现牟利。

 

第四部分安全建议及规范

恶意辅助软件威胁隐私和财产安全带来的极大安全挑战,对手机用户隐私,财产等骚扰造成严重的困扰,如何有效的防范恶意软件的危害显得尤为重要, 为应对未来严峻的安全挑战,腾讯安全已推出自研AI反病毒引擎——腾讯TRP引擎    TRP引擎通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对应用行为的深度学习,能有效识别间辅助软件的风险行为,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。


针对恶意软件开发者,腾讯反诈骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报系统,可以根据恶意间谍软件的恶意行为、传播URL和样本信息进行聚类分析,溯源追踪恶意软件背后的开发者,给于精确打击,保护广大用户免受恶意软件危害。为尽可能避免恶意辅助软件的危害,我们也给用户提出了以下几条防护建议:

( 1 )建议不要使用非官方开发、授权的第三方软件、插件、外挂、辅助软件及服务。

(2 )建议从正规渠道下载手机软件,不安装来自不明来源的应用安装提醒

( 3 )建议不要安装非可信渠道的应用和点击可疑的URL链接。

( 4 )建议及时对设备系统进行安全更新。

(5 )经常使用腾讯手机管家等安全软件对手机进行安全检测,移除存在安全风险的应用.

(6 )养成良好的安全使用手机的习惯.


安全快讯 更多

男明星遭遇冒充公检法诈骗

男明星遭遇冒充公检法诈骗

2021-10-11
切勿轻信“情感挽回大师”

切勿轻信“情感挽回大师”

2021-10-11
手机丢了应该怎么办?

手机丢了应该怎么办?

2021-08-16

安全视频 更多

小管说安全(4)——狗阿旺的案情回顾

2017-12-06

手柄助手完美适配光荣使命

2017-11-30

小管说安全(3)——谣言有毒

2017-10-24