小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究

标签: 漏洞 系统安全 终端安全 后门 国产 | 发表时间:2015-09-11 06:30 | 作者:阿里移动安全
出处:http://www.freebuf.com

0×00 事件起因

根据德国安全厂商GDATA放出的2015年Q2移动恶意病毒报告 [1]中指出:市场上至少有26款的Android手机在卖给消费者时藏有恶意程式,受害的不乏知名品牌,包括小米3(Xiaomi MI3)、华为的Huawei G510、联想的Lenovo S860、Android P8、ConCorde SmartPhone6500、中国的阿尔卑斯(Alps)等,这些手机品牌主要销售地区在亚洲和欧洲。

据介绍,这类间谍软件主要伪装在Facebook和谷歌等流行的安卓应用程序驱动中。用户手机在没有解锁的情况下,是无法删除这些应用的。

图1 受影响的手机型号

0×01 病毒样本分析

在发生此次事件后,我们第一时间联系了GDATA公司,并拿到了预装在手机中的恶意病毒样本进行分析。

样本一:FakeFacebook.Downloader

包名:com.facebook.katana
MD5: 334f0a9811034dd226289aa84d202e60
SHA1: ac8d71fc4ec99b3cb9d758451048fc3d44dda62e

这个样本对facebook 1.8.4版本的apk进行了重打包。在facebook的apk中加入了“com.facebook.tuubo”这个恶意广告包。

图2 FakeFacebook的界面

图3 FakeFacebook的恶意广告包

同时这个病毒样本在原本应用的权限上又申请了大量的高危权限。

图4 FakeFacebook额外申请的权限

这个病毒样本的行为如下:

* 连接 s.fsptogo.com 和 s.kavgo.com 服务器获取命令
* 静默下载和安装app
* 获取机器UDID
* 浏览器历史记录
* 获取logcat调试信息

通过分析apk的开发者证书我们发现,该app的开发者属于Elink公司,这个公司号称是开发MTK平板电脑的。但公司的主页却做的非常不专业。

图5 Elink公司首页

样本二:FakeTwitter.Downloader

包名:com.twiter.android (注意:比正常应用com.twitter.android少了一个t)
MD5: e82ac31cb3771e07c572d526f075bbf4
SHA1: 808dabf5969f76a130901f20091abe85a30f6387

这个样本对twitter的apk进行了重打包。在twitter的apk中加入了“com.twitter.MyReceiver”,“com.twitter.MyService”,“com.twitter.NotifyActivity”等恶意广告组件。

图6 FakeTwitter的界面

图7 FakeTwitter的恶意广告组件

同时这个病毒样本在原本应用的权限上又申请了大量的高危权限。

图8 FakeTwitter额外申请的权限

这个病毒样本的行为如下:

* 连接 91hao.com服务器(分析时服务器已经下线)获取命令
* 静默下载和安装app
* 获取机器UDID

图9 FakeTwitter在服务器上静默下载应用

样本三:悠悠市场

包名:com.uucun4470.androidNaNs
MD5: e7d6fef2f1b23cf39a49771eb277e697
SHA1: f5735dc4d9502f99d3b62c49ef083b403d627124

该病毒样本首先申请了大量高危权限(安装应用,发送短信等),随后伪装成Google Play应用安装隐藏在系统目录中。因为在“/system/app/”路径下的app是默认拥有system权限的,所以该病毒样本可以在用户不知情的情况下在后台下载并安装应用到手机当中。

图10悠悠市场申请的权限

图11悠悠市场的应用信息(伪装成Google Play)

图12悠悠市场的界面(伪装成Google Play)

悠悠市场静默安装其他apk文件的方法在“com.uucun.android.j”中,恶意样本会现检测当前是否有安装其他应用的权限:

随后悠悠市场会调用静默安装的API进行apk的安装:

根据动态分析,该病毒样本会到这些apk市场上下载应用:

http://apk.hiapk.com
http://agoldcomm.plat96.com

另外,病毒样本还会将搜集到的手机信息上传到这些服务器。

http://cloud6.devopenserv.com

http://pus7.devopenserv.com

http://log6.devopenserv.com

通过whois.com查询发现是上海的一家叫悠悠村的公司的服务器。

图13 devopenserv.com的whois信息

图14 UUCUN的网站

根据介绍UUCUN是国内首家&最大AppStore解决方案商(优拓解决方案),成功帮助超过300家手机厂商、方案商、手机卖场以及第三方ROM提供AppStore解决方案。同时,也是国内最大的无线广告平台,平台聚集1000家广告主、5万家开发者。

其中提到了为第三方ROM提供AppStore解决方案。难道所谓的解决方案就是将病毒伪装成Google Play,然后预装在手机中伪装成Google官方进行软件推广或者在后台进行静默安装?

0×03 事件分析

经过对样本的分析以及调查后,我们可以得出结论: 手机中预装病毒确有其事,但GData的报告有些过于夸大事实了。首先这些病毒样本并不是在小米、华为和联想等厂商出厂时安装的,而是在销售的过程中,被经销商预装了病毒或刷入了带有病毒的固件。其次,这些病毒的主要目的是为了进行软件推广,并不会过分的收集用户隐私,所以中毒的用户不用太担心类似iCloud照片门事件的发生。

图15 通过ROM传播病毒的流程

图16 央视新闻对手机预装病毒的报道

另外,在手机中预装病毒的案例这并不是第一个,比如说Lookout曾经报道过jSMSHider病毒,就是一种预装在手机ROM中的恶意短信扣费病毒[2]。在学术界也有预装病毒方面的研究[3]。但随着国家政策对短信扣费类的服务严加管制,地下产业链已经将主流手机病毒转型为恶意软件推广类病毒了。因为随着移动互联网的兴起,软件推广业务已经变成一块人人都想抢的蛋糕,推广者(黑客)只要能做到一个app下载安装运行就可以获取5-20元不等的软件推广费,这也就是为什么恶意推广病毒会这么流行的原因。

0×04 对消费者的建议

为了避免中毒,消费者应该在正规的官方渠道购买手机,不应该贪图便宜而在不安全的小商场购买。如果不放心自己的手机是否中毒,可以下载手机安全应用(比如阿里钱盾等)进行安全扫描,如发现恶意病毒应立刻进行卸载。

0×05 参考文献

1.  GDATA 2015年Q2移动恶意病毒报告

2.  Security Alert: Malware Found Targeting Custom ROMs (jSMSHider)

3.  Min Zheng, Mingshen Sun, John C. S. Lui. "DroidRay: A Security Evaluation System for Customized Android Firmwares", ASIACCS 2014

*作者:蒸米, 迅迪 @阿里移动安全  Scott Wu@ 0xid.com 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关 [小米 华为 联想] 推荐:

小米、华为与联想,背后隐含的三种模式

- - 互联网 - ITeye博客
小米、华为与联想,背后隐含的三种模式(转). 1月15号参加了小米产品发布会,正当雷军在台上讲小米Note的种种功能时我却突然意识到小米、华为、联想的拼杀到了2015年已经完全进入到了一个新的阶段. 在功能和体验上诚然大家会激烈的彼此追赶但其实已经拉不开太多的距离,最终决定胜负的很可能是手机背后所体现出来的模式.

小米、华为、联想等多家国产品牌手机被经销商预装间谍应用的研究

- - FreeBuf.COM | 关注黑客与极客
根据德国安全厂商GDATA放出的2015年Q2移动恶意病毒报告 [1]中指出:市场上至少有26款的Android手机在卖给消费者时藏有恶意程式,受害的不乏知名品牌,包括小米3(Xiaomi MI3)、华为的Huawei G510、联想的Lenovo S860、Android P8、ConCorde SmartPhone6500、中国的阿尔卑斯(Alps)等,这些手机品牌主要销售地区在亚洲和欧洲.

冀勇庆 。 华为云手机 。阿里手机 。小米手机

- nobush - 弯曲评论
[陈怀临注:原文作者是大名哼哼的,我的朋友冀勇庆同学. 其博客的URL是:http://jiyongqing.blog.techweb.com.cn. 勇庆同学曾任《IT经理世界》首席记者,专注企业商业模式及企业家管理能力的研究. 著作有《华为的世界》、《狼战》、《平台征战》、《头寸》等. 近期,云手机的概念可谓大行其道.

叫板小米手机 华为Honor荣耀U8860评测

- Darth Noctis - cnBeta.COM
前一段时间国产小米手机炒的沸沸扬扬,其1.5GHz双核的超强配置以及不足2000元的超低价格无疑是最大的卖点,而在当时也传说华为有一款能与之匹敌的手机叫做华为Honor荣耀U8860,该机配置不低,更搭载了全新的华为云服务,在用户体验方面也下足了功夫. 就在这两天北京举办的国际通信展上,我们见到了这款华为U8860,并且为大家带来了新鲜出炉的评测,大家赶紧来关注一下.

小米手机遭劲敌 华为Honor争取提前发布

- 小熊TONY - cnBeta.COM
8月16日,小米手机正式发布,尽管基于Android之上的小米手机,其革命性远不及当年的iPhone,但其号称全球最快的顶级性能与1999元“白菜价”仍吸引了无数的关注. 高性能Android智能手机价格战的正式开幕. 在小米发布当天,华为高级副总裁余承东在微博称,华为原计划在10月份推出一款配置不逊于小米但价格更低的新机H onor(荣耀),现在将争取提前发布.

外媒看中国:华为手机为何能反超小米?

- - 外刊IT评论
中国智能手机市场的格局以“迅雷不及掩耳盗铃之速”演变,曾经的“中华酷联”已经分崩离析,市场一度短暂形成“小华联”(小米华为联想)三国演义局面,不料,错误收购摩托罗拉移动“包袱”导致联想不进反退. 而在华为小米双雄争霸的局面中,最近又传出了一个重大新闻,华为历史上第一次超越了小米,成为中国智能手机市场的第一名.

华为推1888元手机Honor 将成小米手机的强劲对手

- 梁振华 - cnBeta.COM
感谢我是JW我从不用M9的投递. 华为10月初将上市销售一款Honor荣耀手机,与小米手机规格一致,并称Honor较之小米手机“更薄更窄更容易单手操作,功耗更低,待机及通话时间更长”. 余承东说:“今天看到雷军发布的小米手机,发现其与华为10月初将上市销售的Honor荣耀手机主要规格惊人一致.

小米手机采用高通CPU存隐患 华为新机价更低

- 同道|贾怀军 - TechWeb 今日焦点 RSS阅读
  TechWeb编辑推荐:近日,小米成为了手机市场上的讨论热点,这部8月16日正式发布的智能手机,距离小米公司成立才一年零5个月.   小米手机号称配置了世界上主频最快的高通MSN8260双核1.5GHz手机处理器、比顶端智能手机还快25%. 此外,小米曾公布自筹加融资共获5200万美元,以手机定价1999元为例估计,小米可支撑十万部级别的手机生产成本,资金循环滚动起来,则不止于此.

华为荣耀四核1888元直指小米2:再一次终结一切

- - 爱活网最新资讯
“再一次,终结一切”,这是华为给自家新一代荣耀四核手机的口号. 虽然有些山寨,但也实实在在道出了华为的目的——在2000元价位,“终结”小米手机2代的神话,并依靠性价比遭新生代玩家群中站稳脚跟. 和之前的D1四核不同,华为荣耀四核的定位稍低,但硬件配置丝毫不逊色于前者,华为为它准备了1.4GHz的海思K3V2四核处理器,4.5英寸1280×720 IPS屏幕,运行内存高达2GB,后置800万像素背照式摄像头,电池容量高达2230mAh,华为称其待机可达72小时.

为退烧而生?华为发布荣耀3C/3X新机直指小米

- - 爱活网最新资讯
小米在今年的米2S、米3、红米手机等一系列动作确实动了不少大佬的蛋糕. 现在,国产手机巨头华为已经奋起反击. 2013年12月16日下午,华为在北京798举行了盛大的荣耀品牌新品发布会,荣耀3C、荣耀3X、喵王等一系列新品闪亮登场,华为旗下“荣耀”产品线也将分离成为一个新的品牌,独立运作. 很明显,这一系列动作背后,针对的都是小米等所谓的“互联网手机厂商”.