首页
社区
课程
招聘
来自中国的秘密:预装木马的安卓平板正在销往全世界
发表于: 2015-11-17 22:36 1245

来自中国的秘密:预装木马的安卓平板正在销往全世界

2015-11-17 22:36
1245
新闻链接:http://www.freebuf.com/articles/terminal/85046.html
新闻时间:2015-11-11
新闻正文:

近日,猎豹移动安全实验室发现了一个危险系数较高的木马,该木马被称为Cloudsota。研究发现:该木马是一开始是被预装在一些Android平板上。而从目前的情况来看,遭受该木马感染的平板依然放置在亚马逊的购物架上,并且处于销售状态。

发现之路:起于受害用户的抱怨

通过对收集的信息进行分析,该木马其实已经存在有一段时间了,而其间也有不少受害用户一直在 XDA、TechKnow等网上交流论坛上寻求帮助。

而在亚马逊上也发现了一些购买了平板的用户的抱怨。

恶意行径:Cloudsota木马伸出了恶魔之手

经过分析发现,Cloudsota木马能够远程控制受感染的设备,可在在未经用户允许的情况下,进行带有目的性的恶意操作。

安全专家目前经过分析及研究,已经检测到Cloudsota的主要行为轨迹。

首先,它可以直接将恶意广告软件或者其他的恶意软件安装到设备上。同时在初始阶段,该木马会先将杀毒应用卸载掉,从而方便进行其他的恶意操作。我们也发现,在root权限下,它不但能够自动打开所有安装在设备上的应用,而且经过检测,该木马会将开机动画和壁纸都替换成广告。和众多恶意广告软件一样,Cloudsota还会将浏览器的默认主页篡改,并重定向到一个广告页面上,绑定用户进行浏览。

影响:超过153个国家地区的用户受到影响

根据我们初步的估算,至少有17,233台受感染的平板被线下的用户购买,并已经通过物流交付到用户手中。该数据的估算是基于猎豹移动收集的匿名数据。而由于目前许多平板是不受杀毒应用的保护,实际上感染设备的数量可能比我们预计要多得多。

其中最让我们担心的是,这些平板电脑在许多电商平台都有出售,不乏零售巨头,像亚马逊。

从当前的情况来看,显然大多数人都不知道cloudsota的潜在风险和破坏性,而在这里,必须提醒广大用户,可以说,这是一个定时炸弹,随时都有可能威胁个人隐私和财产安全。

根据跟踪研究发现,目前有超过30个品牌的平板被预装了该木马,而相对于大型品牌的平板电脑,影响最大的是一些小众品牌的平板。据统计,超过4000台受影响的小众品牌平板已经被出售到全球各地。

目前我们已经告知了被发现预装该木马的各大品牌平板公司。同时,我们也在反馈中,建议这些制造商能够仔细研究分析其系统固件,但很不幸,截止到目前为止,没有厂商回应此事件。

在遭受该木马感染的超过153个国家和地区中,美国、墨西哥和土耳其的情况是最为严重的。 

我们可以在网上看到许多用户纷纷在亚马逊上评论,抱怨设备经常出现广告和弹窗。而根据对收集到的信息进行统计,发现这些预装该木马的平板都有一定的相同之处,就是所有的这些平板,它们的价格都是比较廉价的,并且可以追溯到它们的制造商其实出自于一些不知名的小型车间。下面是一个不完整统计的在亚马逊上疑似预装木马的品牌列表:

而当我们也发现一个有问题的平板电脑后,我们随即发送了通知给到亚马逊,阐述了目前发生的问题。我们也相信,亚马逊可以通过其客户的投诉和评论来证实我们的信息。

反编译:对木马Cloudsota的技术分析

许多用户反映说,他们的平板被锁定为演示模式,并且在屏幕上一直会出现一个红色的“Demo”。而根据我们的分析,其实该情况(即出现红色的“Demo”)并不是由木马Cloudsota引起的。实际上,该红色“Demo”源于系统组件package-SystemUI.apk。我们发现,当设备开机的时候,在SystemUI.apk中的恶意代码便会执行,它的目的是检查com.clouds.server (即为Cloudsota)是否被安装在平板上,如果没有的话,它会尝试进行安装。而进一步,如果安装失败,那么就会出现上述的情况,一个大大的红色“Demo”出现在屏幕中间。以下是部分代码信息,

(一)重新启动后的恢复机制

我们发现即使移除了该木马,它在设备重新启动之后又会再次出现。原来,该木马是嵌入到 boot.img /cloudsota/CloudsService.apk中,这样使得该木马能够在用户重启设备之后进行自我恢复。这样看来,该木马是相当难缠的。我们可以从下面的脚本中看到,每一次重启设备之后,init.rc脚本都会重新恢复木马。

(二)篡改浏览器主页

当用户开启设备时,为了获取篡改的操作指令,Cloudsota会频繁地与外部服务器进行通信(约每30分钟一次),篡改浏览器主页的指令如下所述:

在这过程中,我们也截获了一些数据:

请注意该网址:cloudsota.com

(三)静默安装Apps

跟篡改浏览器主页相似,cloudsota也会从云端的服务器获取一个apps列表,然后直接在用户的设备上静默安装。根据目前的分析和调查,一般来说,用户是很难移除这些apps的。具体执行的部分代码段如下,

我们获取到该木马执行的一些信息,如下 

http://download.cloudsota.com/apk/ota/1438999935/CalendarService.apk
http://download.cloudsota.com/apk/ota/1440569351/CloudsService.apk
http://download.cloudsota.com/apk/DSB/393/dsb_aijian2.apk
http://download.cloudsota.com/apk/MopoPlay/4314/MopoPlay.apk
http://download.cloudsota.com/apk/maxthon/2915/hgnormal_remote_master.apk

(四)其他检测到的行为

该木马也可以进行以下操作:

1、更改设备的启动动画(在每一次启动后,用户都会看到烦人的广告!);
2、卸载设备上的应用程序(主要卸载设备上的杀毒应用和应用于保护设备的root 工具);
3、将广告设置为壁纸(每次点击Home键的时候,又是极其烦人的广告!);
4、打开设备上的任何应用程序;
5、创建广告弹窗。

以上是经过分析,我们获取到的该木马的主要行为轨迹。那到这里,我们是不是有点明白了为什么这些平板会这么便宜呢?

攻击者很可能来自中国

我们目前也已经有了初步的证据证明,该Cloudsota木马的幕后操纵者是来自中国,主要的判断依据如下:

1、从我们提取的木马链接来看,在WHOIS上面对www.cloudsota.com进行查询。从查询结果看,服务器是在深圳注册的。

显示的部分信息如下,

所有者: QIU BIHUI
注册地址:宝安区西乡
注册城市:深圳
注册省区:广东省
邮政编码:518101

其他的信息包括一些联系方式就不在这里多提了。

2、大部分代码注释都是用中文写的。

3、平板的制造厂商来自中国

解决办法与建议

对于拥有感染设备用户:我们在博客中有移除的办法可供参考,请移步 manual removal instructions进行详细了解。

对于电商平台:我们建议应该更加严格地去审核产品供应商,这也是对消费者的负责。

在分析报告中,我们从下面的网站和机构中获取了一些原始数据进行参考,非常感谢他们的支持!

致谢:www.Techknow.me / www.Techknow.one

更加详细的信息可以参考:Appendix

*参考来源:cmcm,FB小编troy编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
收藏该文

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//