信息來源：FreeBuf

近期,依托騰訊安全大數(shù)據(jù)，騰訊安全反詐騙實驗室自研的TRP-AI反病毒智能引擎捕獲到某色情病毒家族存在流量異常行為，騰訊安全研究人員研究發(fā)現(xiàn)，該色情病毒家族集成了一個名為 “隱流者”的應用刷單病毒，該病毒家族將自身植入到支付插件中，然后利用混淆，關鍵信息加密，核心代碼剝離，惡意代碼分多次下載等技術手段來繞過傳統(tǒng)病毒引擎查殺。

騰訊安全研究人員指出隱流者病毒家族除了隱蔽性極強的特性之外,其隱匿于用戶量極大的色情和游戲進行傳播可以持續(xù)獲取到足夠的流量來布局刷量變現(xiàn)平臺.該病將真實用戶設備改造成后門刷量客戶端,然后通過云端控制的方式讓中招用戶完成應用市場刷量任務。

根據(jù)對隱流者病毒完善的刷榜流程,安全研究人員其主要存在以下風險：

1、應用市場平臺的生態(tài)安全：隱流者病毒可以繞過應用市場的虛假設備檢測功能,實現(xiàn)對應用的快速刷取排名,影響應用市場排名的公平性；

2、應用開發(fā)者的營銷損失：其可以針對競爭對手進行虛假下載攻擊,應用開發(fā)者投入的大量市場推廣費用最終換來的可能是虛假用戶。

一 、該家族病毒主要危害

1、模擬刷榜功能

逆向分析各大手機應用市場搜索協(xié)議,利用中招設備發(fā)送模擬搜索請求,接著解析返回數(shù)據(jù)獲取指定應用信息,進行應用下載安裝的操作,最終完成指定應用的刷榜的行為.該功能還可用戶打擊競爭對手的應用,快速消耗競品的廣告費用.

（疑似可能被刷榜的部分應用）

2  欺詐扣費功能

勾起用戶的欲望,自動訂閱各種短信收費服務.。

二、該家族的傳播方式

  “隱流者”將后門代碼植入到名為cmnpay的惡意支付插件中,任何使用該支付插件的應用都可執(zhí)行相應的惡意代碼.目前該惡意支付插件主要的使用者是色情剛需應用和部分的游戲應用.

 

三 、病毒樣本的攻擊流程

1 使用支付SDK的應用會主動將其加載起來

  

2 惡意代碼執(zhí)行流程

  

3 隱流者詳細分析過程

3.1 GeneralService.onStart方法，等待一段時間后，初始化各種插件 

3.2初始化插件的過程中，com.XYfNRjplXNf.a.c$1的run()方法會鏈接云端服務器，下載云端配置文件,解密以后獲取到相應dex子包的下載地址 

根據(jù)抓包分析，服務器域名為suann***n.com，下載插件的網絡數(shù)據(jù)如下所示：

3.3 其中配置為sdk_pp的dex子包sdk_mod2會進一步從云端下載刷量相關的幾個子包

4 隱流者核心模塊的工作原理

4.1 惡意子包p_ste_1根據(jù)云端下發(fā)的配置信息針對應用市場進行應用搜索和下載刷量的行為。

4.1.1 解析云端的配置信息

    

4.1.2 針對不同的市場進行操作，幾乎涵蓋國內各大應用市場 

4.1.3 抽象定義的基類，按照熱詞搜索應用、下載應用等刷量行為 

4.2 通過逆向各個應用市場相關API接口,根據(jù)應用市場的不同實現(xiàn)不同的刷量邏輯,模擬相關網絡請求,解析返回數(shù)據(jù),最終實現(xiàn)刷量的目標 

4.2.1 某應用市場實現(xiàn)案例

(1) 偽造搜索請求，根據(jù)關鍵字獲取搜索結果

 (應用市場返回的搜索接口數(shù)據(jù))

(2) 偽造請求,獲取相關應用的詳細信息  

(3) 偽造下載請求請求 

四、溯源信息

通過對隱流者的相關信息溯源發(fā)現(xiàn),該幕后黑手是位于深圳的廠商

 

五、查殺和防御

1 應用廠商防御建議

對應用市場API進行鑒權操作,僅允許官方應用進行訪問,避免API接口被濫用

建立應用市場增長應用監(jiān)控機制,避免大規(guī)模刷榜行為

與安全廠商進行合作打通安全情報,通過合作發(fā)現(xiàn)打擊刷榜行為

2 用戶查殺防御建議

安裝手機防護軟件即可查殺防御該病毒家族