您现在的位置: 主页 > 华夏黑客联盟 > QQ盗号木马 > 文章内容

僵尸QQ木马专盗微信、QQ和QQ空间、QQ相册

作者: QQ黑客 来源:未知 时间: 2015-08-29 阅读:

第一章 木马概述

一、木马危害

近期,360互联网安全中心检测发现有90款手机应用的部分样本被混入了一段云控代码,该段代码会在用户不知情的情况下,从网上下载恶意插件msg.jar,msg.jar释放后在后台静默访问某知名导航网站,并联网获取关键词模拟真实用户的搜索行为在该导航网站上进行搜索操作,从而实现为该导航网站和指定搜索引擎刷流量目的。

由于这些手机应用会大量消耗用户的手机流量,故此,我们将含有该段恶意代码的应用程序命名为“流量僵尸”QQ木马。

测试结果显示,此类QQ木马在用户每次滑动解手机锁屏幕时都会在后台进行一次静默刷流量操作,平均每次操作消耗用户手机流量约0.76M。按照每个用户平均每天解锁手机屏幕150次计算(参考第三方实验统计),该QQ木马平均每天约消耗每位用户手机流量114M。

截止2015年7月13日,360互联网安全中心共发现90款不同名称的应用被植入“流量僵尸”木马,包括80款游戏类应用和10款工具类应用,样本数量达到1000余个。同时,已经累计检测出感染此类木马的手机数量为445561部。若手机安全软件未对此类进行查杀,则仅这44万余部被感染的手机,每天就会为木马所指向的导航网站和搜索引擎刷掉约6683万次的虚假请求量。按照国内最大的搜索引擎每日约10亿次的搜索请求量计算,该木马伪造的搜索请求量约可占国内最大搜索引擎日均搜索请求量的6.68%。

逆向分析及测试结果显示,流量僵尸木马的数字签名和msg.jar包的下载地址均指向深圳市某软件公司。此报告发布前,360互联网安全中心已经向有关部门进行了举报。

二、盗号QQ木马行为查看QQ聊天记录

流量僵尸QQ木马启动后,其攻击过程大致可以分解为3个阶段:

1)云控后门向服务器发起请求,联网下载并运行名为msg.jar的恶意插件;
2)从服务器上获取home页网址,之后完成对home页网址的模拟访问;
3)从服务器上获取搜索关键词,之后用此关键词对指定的搜索引擎完成模拟访问。

其中,第2)和第3)阶段都是由恶意插件msg.jar来执行的,其具体操作过程又可以分为以下六个小步骤。

1)构造初始请求JSRequest并向服务器发起请求;
2)接收服务器返回数据,初始化home页地址及跳转页JS文件下载地址;本站
3)调用浏览器加载服务器返回的home页,完成home页的访问;
4)发起跳转请求;
5)根据初始服务器返回的JS文件下载地址,向服务器请求JS文件;
6)加载JS文件,取回关键词,完成跳转及模拟搜索操作。

下图给出了msg.jar被加载后的运行过程示意图。

第二章 测试分析

为了能够定量的分析流量僵尸木马对用户手机产生的影响,我们对木马样本进行了两项测试分析,一个是流量消耗测试分析,一个是联网取词测试分析。

一、 流量消耗

由于流量僵尸木马对用户访问行为的模拟非常完整,所以手机会在用户不知情的情况下,从目标网站下载大量的网页数据并在后台运行,因此会对用户手机产生很大的流量消耗。

测试结果显示,用户每解锁一次手机屏幕便会触发一次刷流量动作,每次动作连续调用android.webkit.WebView.loadUrl方法加载指定JS文件10到30次不等,具体次数取决于服务器返回的JS列表大小。

我们使用系统自带了流量检测工具Data Usage对一款被植入了“流量僵尸”木马程序样本进行测试。下图记录了一次解锁屏幕过程中,该木马样本消耗用户手机流量的情况。从图中可见,这个感染了木马的应用程序在屏幕解锁前后的前台流量没有变化,均为为3.99MB,而后台流量却从7.96M增加到了8.69M,也就是说,在这一过程中,木马使被感染的应用程序多消耗了用户手机0.73M的流量。此外,后台监测记录还显示,该木马样本在本次测试中,共调用android.webkit.WebView.loadUrl方法11次。

第三章 代码分析

为了进一步了解流量僵尸木马的具体技术原理,我们对流量僵尸木马的样本进行了逆向分析。下面就从QQ木马攻击的三个主要阶段分别进行分析。

一、下载恶意插件

样本启动后,云控后门向服务器发起请求,联网下载名为msg.jar 的恶意插件,下载信息如下面的数据包截图所示:

第四章 流量黑产

一、盗QQ木马制作

截止2015年7月13日,360互联网安全中心共发现90款不同名称的应用被植入“流量僵尸”木马,样本数量达到1000余个,感染手机445561部。通过分析木马样本的数字证书发现,“流量僵尸”木马的样本主要使用了4个不同的数字签名证书,分别是:

1) CN=ngsteam, OU=ngsteam, O=xinyinhe, C=CN
2) CN=google, OU=google, O=android, C=CN
3) CN=Android Debug, O=Android, C=US
4) EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US

其中,前两个证书共占到目前已截获样本总量的61%。

下图是感染流量僵尸木马的样本证书分布情况。

第五章 流量泡沫

事实上,流量僵尸木马只不过是消耗用户手机流量,为网站制造虚假请求量的众多手机木马中的一个而已。根据360互联网安全中心发布的《2015年第二季度中国手机安全状况报告》数据显示,在2015年4-6月截获的所有550万个安卓平台恶意程序中,通过静默访问等形式消耗用户手机流量资费的恶意程序样本多达442.8万个,占比高达80.5%。相比之下,流量僵尸木马的1000余个样本甚至仅为这一数字的0.2‰。由此可以想象由各种木马造成的虚假的移动互联网流量,其规模是何等的庞大。

除了木马之外,网上还有很多公开或半公开的虚假流量交易。比如,下图就是在某购物网站上搜索“刷网站流量”一词所得到的查询结果页面。可以看出,想在网上购买点击量、广告点击量都不难找到。

除了基本的刷流量和点击量之外,还有一些比较“高级”的刷法,如:刷下载量、刷激活量(APP被下载之后至少被打开使用一次)和刷存活量(APP下载之后还必须在一定时间内被持续使用)等。而这些业务也都能比较容易的在网上找到。下图两图是在某购物网站上分别搜索“app刷激活”和“app刷存活量”(实为“app刷量”)这两个词所得到的结果。

 

从图中可见,下载、安装、注册、激活、评论,什么都可以刷,而且安卓、苹果都能刷。

下图是某个专门给苹果iOS系统APP刷量的“宝贝”详情截图。其中给出的可刷选项更加丰富,不仅包括存留、日活(每日活跃数量)等,还可以刷时长分布这种“高级选项”。

 

除了网站流量外,社交网络也是可以刷的。下面几张图是我们在某手机应用商店中查询到的一些专门针对盗腾讯微信、QQ和QQ空间的刷赞、刷人气,暴力破解QQ密码工具。

 

由上述分析可见,移动互联网上至少有相当数量的点击、下载、安装甚至是点赞、评论都并非是真实用户所为,而是由一些木马或自动化工具来完成的。而这些虚假的流量实际上就是移动互联上的流量泡沫。虽然我们很难准确的估算流量泡沫究竟有多大,但它一定远远超出了我们一般人的想象。在移动互联网高速发展的今天,我们更应该警惕流量泡沫背后的所隐藏的巨大黑洞。