本文作者:雷锋网网络安全专栏作者,李勤
我们只知道,卡巴斯基爱点名朝鲜黑客,比如,上次那波闻名全球的勒索病毒,它就站出来说:
幕后真凶或来自朝鲜!
吃瓜群众一看到朝鲜黑客被点名,就开始编织出无数版本的猜测和故事,谁关注那个“或”字。
“或”就是可能有,可能没有。
这种“莫须有”毫无实证的“锅”当年可是害死过一位著名历史人物的。
不过,对一些人而言,只要不是点名中国,说谁都行。
可是,6月8日卡巴斯基发布了一份报告,报告名为《Dvmap: the first Android malware with code injection》(《Dvmap:第一种具备代码注入能力的安卓恶意软件》)该报告指出,卡巴斯基分析了一种对Android系统平台运行库进行恶意代码注入的恶意软件样本,然后在报告中提及该恶意软件所包含的“.root_sh”脚本文件中存在中文注释。
隐隐约约就是在说:脚本文件居然有中文注释,哎呀,是谁做的呢?
人在家中坐,锅从天上来。
也许是注意到这一点,中国安全研究员火速开展了深度分析。
雷锋网宅客频道(微信ID:letshome)编辑发现,微信公众号“安天移动安全”6月9日发了一份《关于“Dvmap”安卓恶意软件分析报告》,对此样本进行了进一步分析。
首先,我们来看看,这个安卓恶意软件到底能干什么。
这个 com.colourblock.flood.apk伪装成名为“colourblock”的解密游戏,在 Google Play 进行发布下载。
既然是人畜无害,那么肯定不会让你“明眼”看出来它其实是个小恶魔。
但是,这个恶意软件会根据植入终端系统版本、cpu类型等信息,解密其内嵌的恶意文件“Game*.res"。呵呵哒,还能根据手机自适应呢!
最终,由这个恶意文件解析后释放的文件开始“张牙舞爪”试图伪装为高通的时间服务程序,其主要作用为与远控服务器通信并执行远控任务。
也就是远程操控你的手机!
然后你要问了:当我大谷歌是吃干饭的么?为什么没有检测出来?
因为这款恶意软件特别狡猾,在攻防战斗中应该是根老油条了。
这个恶意软件 colourblock 在3月下旬起,就采用了在同一天内交替上传该软件的恶意版本与无害版本得方法,借以绕过了 Google Play 对其进行安全性检查的方式,而且一直利用 Google Play 市场进行分发。还借由此种方法多次上传其恶意版本及对其恶意载荷的加密处理,自3月下旬起至被卡巴斯基公司举报下架为止,该恶意软件已被累积下载超过 50000 次。
安全人员还分析发现,这个恶意代码的开发者有一定反侦察自我保护能力,对恶意样本实施了部分保护措施,如隐匿 apk 生成时间, 在生成 apk 时修改系统本地时间,导致解包 apk 文件获取到的生成时间为 1979 年。
这就如同罪犯在警察破案中隐匿真实作案时间。
不过,守方老司机也不是吃素的,他们通过一些方法,挖掘出了该恶意软件的真实制作时间为 2017年4月18 日,进而为后续的“破案”提供了必要的真实数据依据。
先暂停一下破案,卡巴斯基为什么认为和中国有关?
原来,在恶意样本的多个bin文件里均出现“kinguser.apk”信息,可以推测该恶意样本使用了中国开发者所开发的 kingroot 工具的 exp 程序用于提权。
但是,守方老司机在发现真实制作时间后,谜团陆续被解开。
安全人员发现,该恶意软件从初次上传到Google Play起截至今日,在被成功植入恶意样本的 965 台终端中,分布于印度尼西亚与印度的数量分别为 220 台与 128 台,占比分别为 22.79 %与 13.26 %,排第三的为加拿大,其被植入恶意样本的终端数量仅为 48 台,印度尼西亚区域内被植入恶意样本的终端数量在统计范围中占明显优势。
恶意样本载荷的样本数据初次采集时间为 4 月19日,植入终端所在位置为德国,但经深度分析后发现该样本运行环境为Remix OS For PC安卓模拟器,且其实际连入互联网方式为使用安全公司Avira的德国VPN服务器,因此具备较大的病毒测试设备嫌疑。由此可见,载荷植入终端早期数据中的第一台终端所在位置,有较大几率处于印度尼西亚。
有一个证据还不够,安全领域的老“警察”又发现:
根据对恶意样本 colourblock 的 Google Play 市场缓存及全球其他分发来源的页面留存信息,得到 Retgumhoap Kanumep为该恶意样本声明的作者姓名,但通过全网搜索与大数据碰撞比对,并不存在以该姓名发布的其他软件与该姓名相关的任何网络信息。
通过对该姓名Retgumhoap Kanumep的解读分析,发现将其姓“Kanumep”各字母从右至左逆序排列则为Pemunak,即印度尼西亚语“软件”之意。
对其名字“Retgumhoap”进行分词为“Retg-umhoap”,由于“retg-”前缀为“return(返回)”之意,故尝试将“umhoap”字母排列逆时针转动180度,得到了单词“deoywn”。对单词“deoywn”进行全网搜索可知,曾有机器人程序使用邮箱 bkueunclpa@deoywn.com在大量互联网站留言板页面自动发布留言:
【图片来源:安天移动安全】
对该邮箱ID “bkueunclpa”进行语言识别,得知其为印度尼西亚方言。
还有一个证据是,该恶意样本载荷向位于亚马逊云的页面接口回传数据,该页面域名中包含“d3pritf0m3bku5”字样,经分析,即“de pritfomebkus”,用 Google 翻译识别其语种,仍为印度尼西亚方言。
至此,似乎真相大白!
据安全人员的判断:
初步认为在卡巴斯基原分析报告中专门提及的中文代码注释问题,应只是该恶意软件编写者直接使用了中国开发者编写的Kingroot脚本,而非直接与中国恶意软件开发者产生明显联系。
而通过恶意样本及开发者信息的语言特征判断,该恶意软件有较大几率与印度尼西亚开发者存在直接关系;另外,由于该恶意软件并没有在任何社交网站进行推广的网络记录,仅通过应用市场分发,因此其早期推广与分发行为,较大几率由恶意软件开发者就近在自身网络社交范围内通过其他手段进行,结合该恶意软件在早期植入的移动终端地域分布情况和整体总量植入移动终端地域分布情况,可以认为印度尼西亚有较大可能是该恶意软件的开发者所在地和主要受害者集中地域。
感觉活脱脱在网络安全界上演了一次老刑警与狡猾罪犯斗智斗勇的大戏,看了安全人员的分析,好想献上膝盖。
注:如果你想看更详细的技术分析,可以自行搜索安天移动安全的《关于“Dvmap”安卓恶意软件分析报告》,本文相关数据及分析结论均参考于此。
本文作者:雷锋网网络安全专栏作者,李勤,重要的事情说三遍,雷锋网、雷锋网、雷锋网。