3個月前 (09-12) 中國互聯安全響應中心  固若金湯
文章評分 0 次,平均分 0.0

0x00 背景


今年央視3.15晚會曝光了道有道科技公司通過推送惡意程序,使手機用戶被莫名扣費的問題,引起了廣大手機用戶的高度關注。

360移動安全團隊對道有道廣告SDK進行了分析與研究。截至2016年3月底,嵌入道有道廣告SDK的應用軟件累計達到80萬個,從月增樣本數量統計可以看出,在去年年中的一個月內就收錄了近10萬個。

“道有道”的對抗之路

0x01 廣告形式


在道有道的官網上,介紹了其廣告SDK的展現形式包括插屏廣告、Banner廣告和應用推薦廣告。

“道有道”的對抗之路

其官網展示的插屏廣告是在軟件內的插屏,實際上在其廣告SDK開發文檔中,還支持在自身軟件外彈插屏廣告,這也正是3.15曝光的展現形式。

“道有道”的對抗之路

這種外插屏的展現形式,侵犯了用戶的知情權,用戶不知道是哪個應用彈的廣告,并且點擊屏幕任何地方都會直接下載推廣的應用,除非準確點擊?才能關閉廣告。這種匿名且在自身應用外推送的廣告展現形式,不但容易造成用戶手機流量損失,還影響用戶手機正常使用,被我們定義為惡意廣告。

0x02 推廣


360移動安全團隊發現,借助道有道廣告SDK推廣的軟件,除了正常軟件外,還存在大量的惡意軟件,比如3.15曝光的色情視頻類惡意軟件。我們之前發布的“舞毒蛾”【1】和“百腦蟲”【2】木馬分析報告,都是借助色情視頻類惡意軟件傳播、感染用戶手機,并且難以清除干凈。

“道有道”的對抗之路

移動廣告平臺對推廣的應用審核不嚴,助漲了惡意軟件傳播,成為了其幫兇,最終造成用戶經濟損失、隱私泄露。

0x03 對抗演變


360移動安全團隊分析發現,道有道廣告SDK利用靜態和動態相結合的手段,與殺軟特征進行持續性的對抗,從而躲避殺軟的查殺。

1.靜態對抗

1.1 組件名稱隨機化

從靜態角度,通過對比嵌入其SDK的兩個相似樣本的AndroidManifest.xml文件內容,可以發現其聲明的activity、service名稱都是隨機生成的,沒有任何含義,這與一般正常軟件的聲明方式有明顯的不同。

“道有道”的對抗之路

1.2 方法及字符串變形

SDK中的方法及字符串也在不斷的進行變化,來躲避殺軟靜態特征識別。下面以onKeyDown方法為例,來展示其不同版本的變化情況。

最初的版本,方法和字符串均未加密。

“道有道”的對抗之路

升級的版本,方法中的字符串進行簡單的Base64加密。

“道有道”的對抗之路

再后續的版本中,隱藏方式又有所加深,將方法名稱及字符串都保存在配置文件里。

“道有道”的對抗之路

1.3 核心代碼的隱藏

道有道廣告SDK的核心功能都是依靠動態加載的dex文件來實現,這也是躲避殺軟靜態特征掃描的一種手段。其主要采用本地文件釋放和代碼運行釋放兩種手段隱藏其核心代碼。

解析assets目錄下的資源文件,得到加載的dex文件。

“道有道”的對抗之路

將dex文件的二進制編碼到代碼中,在代碼運行過程中解碼釋放。

“道有道”的對抗之路

2.動態對抗

**2.1 URL變化***|

從動態角度,我們以時間軸和不同顏色的方式來展示其廣告聯網的URL變化情況。

“道有道”的對抗之路

  • 紅色部分:URL前面幾乎都是以“api”開頭,不同時間段后面分別是 “is”、“cp”、“info”;
  • 綠色部分:URL最后面都是以“jsp”結尾,并且從“init”、“in”和“i1n2i3t4”能夠看出有明顯的對抗變化;
  • 藍色部分:URL中間部分從“is”變為“nis”,從“_b”變為“_tgb”;
  • 黃色部分:URL開頭部分從“api”變為“ai”;
  • 紫色部分:URL結尾從“wa.*/bb”變為“ai.wa.*/ia”;

以上這些URL的變化,都是在對抗沙箱等動態檢測技術。

0x04 討論


移動廣告市場的快速增長導致國內涌現出上百家移動廣告平臺,他們主要依靠在移動應用中集成廣告SDK,收取廣告主的展示費來盈利。3.15曝光的移動廣告平臺問題,僅僅是冰上一角,這些廣告平臺大小不一,良莠不齊,他們提供的廣告SDK沒有統一的行業標準,給移動安全帶來了一定的風險和隱患。

360移動安全團隊發現,開發者嵌入廣告SDK需要的開發門檻極低,甚至有些廣告廠商為了方便開發者嵌入自家平臺的廣告,提供了廣告打包器,只要將開發的應用通過打包器,就可以制作出嵌有該平臺廣告的應用。

“道有道”的對抗之路

極低的二次打包成本在一定程度上助漲了盜版軟件的滋生。在360發布的《2015年Android手機應用盜版情況調研報告》【3】中指出,平均每款正版APP對應92.7個盜版。

廣告廠商借助移動應用平臺進行廣告投放,有責任對自身推廣的軟件安全性進行嚴格審查,避免廣告推廣給手機用戶帶來的不必要話費、流量損失。

我們建議用戶在選擇應用下載途徑時,應該盡量選擇大型可信站點,如360手機助手、各軟件官網等。同時,安裝360手機衛士定期查殺。

0x05 參考文獻


 

除特別注明外,本站所有文章均為鐵匠運維網原創,轉載請注明出處來自http://www.kzrhud.live/25107.html

中國互聯是江蘇邦寧科技有限公司旗下的著名IT服務供應商品牌之一,是國內IDC行業十大之一、企業互聯網服務首選品牌。江蘇邦寧科技成立于2003年,是國內互聯網名稱與數字地址服務、云數據中心機房服務的引領者,是行業云計算解決方案、網站智能建設、企業智能辦公軟件、移動互聯網開發的創新者。自成立以來,公司秉承“一切為了客戶滿意”的核心理念,堅持“國際化、專業化、高端化”的發展思路,堅持“以客戶需求為導向、以技術創新為基礎、以服務創新為支撐”,先后為國內各級政府、社會服務機構、國內外眾多500強企業及中小企業、個人客戶提供了專業、高質、優越的互聯網應用服務。

發表評論

暫無評論

切換注冊

登錄

忘記密碼 ?

您也可以使用第三方帳號快捷登錄

切換登錄

注冊

掃一掃二維碼分享
青海11选5开奖结果走势图