大家好,感谢邀请,今天来为大家分享一下wap手机网站源码分享带后台的问题,以及和wap手机网站模板的一些困惑,大家要是还不太明白的话,也没有关系,因为接下来将为大家分享,希望可以帮助到大家,解决大家的问题,下面就开始吧!
近期安全研究人员发现了某种恶意SDK,使用该SDK的应用程序具有恶意行为,会私自发送短信到指定的号码,订阅高额费用的增值服务。并上传用户隐私数据,静默下载应用程序。
该恶意SDK感染的应用高达30多个,并且这些应用在某些应用市场仍可下载,持续牟利。其中,某款应用在谷歌商店的下载量高达100万,影响不可小觑。
盘古实验室的安全研究人员对其中一款被感染的恶意应用“ILoveFliter”进行分析,并整理了相关的安全报告。
01
“ILoveFilter”还是“ILoveFliter”
“ILoveFliter”是一款奇怪的应用,它在GooglePlay上很受欢迎,下载量超过100万次,但是评分却异常低。
▲应用在GooglePlay的介绍
在应用的评论区,充斥大量的1星评论,关键字也大多是worst、worse等负面词汇。
▲应用在GooglePlay的评论
该应用的名称为“ILoveFliter”,最后一个单词和过滤“filter”很相似,只是i和l的顺序颠倒了。这足以让人错认为这是一款正常的相片滤镜处理软件。
▲”ILoveFliter”应用基本信息
在手机端打开后是一个奇怪的页面:
▲”ILoveFliter”应用界面
该恶意应用的具体恶意行为还需要进行深度分析,才能判断恶意SDK的行为。
02
恶意SDK行为分析
在对恶意样本进行行为分析的过程中,我们发现,很多恶意样本都进行了加固操作。比如分析的这款恶意样本,利用了爱加密进行加固。
在恶意SDK行为分析的过程中,也确实找到了一些可疑线索。
SDK中的域名
恶意SDK中出现的所有域名中,有几个罕见的域名。
push.mobgkt.com
sandbox.api.mobgkt.com
api.mobgkt.com
这些罕见的域名可能对于后续的溯源有所帮助。
SDK代码分析
通过对APK反编译,可以看到该恶意SDK的一些关键代码。
1.获取用户基本信息
包括IMEI、IMSI、本机号码、SIM卡信息、Mac地址、IP地址、位置信息、已安装包名称等。
▲获取用户基本信息
2.将上述信息上传至服务器
▲用户信息上传
对应的服务器地址为:push.mobgkt.com
▲服务器信息
3.动态注册短信接收器
▲获取用户基本信息
监听短信内容:
▲监听短信内容
根据特定号码和短信内容(从服务器端获取并存储在SharedPreference中),将手机设置成静音模式。
4.下载并安装应用程序
▲downloadAndInstall()函数
下载过程为静默下载:
▲设置静默下载
数据来自tpush推送消息。tpush是腾讯的推送服务,该恶意软件利用tpush推送消息给用户,并静默下载应用。但是该恶意软件并没有涉及root权限,所以安装的时候还是会提示用户进行安装。
5.发送短信
接收到message会自动发送短信,短信号码来自服务器。
▲发送短信
03
恶意样本抓包分析
通过对安装在测试机上的恶意应用进行数据包截取分析,可以精准看到恶意应用与哪些域名或IP进行交互。
在设置好代理并打开应用后,电脑端截获了以下host。
http://api.mobgkt.com
http://push.mobgkt.com
这些域名与恶意SDK中出现的域名一致。
api.mobgkt.com
应用访问api.mobgkt.com的url如下图所示。
▲截获的url请求
第一个URL的详细地址为:
http://api.mobgkt.com/adminApp/smartWapPage/redirect?appId=app_gkt_beautifulphoto_startrek_1388&plmn=&deviceId=359125053541035&imsi=0&processType=1
在浏览器中打开链接,显示如下图所示的界面。这个界面与在应用中打开的界面是几乎一样的。
▲浏览器中访问的界面
第二个URL的详细地址为:
http://api.mobgkt.com/router/rest?appId=app_gkt_beautifulphoto_startrek_1388&appSecret=e6f44b5299eb×tamp=1484632900921&format=json&v=1.0&sign=1F70D57406CDE0C8456AD4B3923F6DCC&method=pay.appconfig.get&plmn=&deviceId=359125053541035&imsi=0
在浏览器中打开链接,显示的内容如下:
▲浏览器中访问的界面
大致内容为付费的服务信息,继续订购及取消订购的方式。然而在手机端并没有相应的信息提示订购和取消服务的信息。
由于测试机中并未安装SIM卡,所以向服务器发送请求的过程中产生了第三个链接:
http://api.mobgkt.com/router/rest?appId=app_gkt_beautifulphoto_startrek_1388&appSecret=e6f44b5299eb×tamp=1484635805252&format=json&v=1.0&sign=9021D8A9CC18D25815E06D0A622794E7&method=pay.payTask.get&deviceId=359125053541035&imsi=0&showSupportText=
在浏览器中打开,显示:
▲浏览器中访问的界面
后面几个URL链接与前面一致,以GET形式请求,但是服务器无反应,不会返回任何信息。
push.mobgkt.com
应用访问push.mobgkt.com的url如下图所示。
▲截获的url请求
第一个URL的详细地址为:
http://push.mobgkt.com/router/rest
该HTTP请求以POST形式提交,具体的参数为:
▲POST参数
其中包括手机类型、手机mac地址、手机CPU、所有应用列表及包名、IP地址、地址等信息。
请求数据包的头部信息中还包括了如下信息:
▲header头部信息
安卓手机的版本和设备信息都在头部信息中传递给服务器。当设备首次安装使用,服务器会返回200。当修改其中的参数时,服务器会返回503。
第二个和第三个URL的详细地址与第一个一致,但是是以GET方式请求的,服务器不返回任何信息。
04
设备中存储的信息
在对恶意SDK行为分析和恶意样本抓包分析后,对安卓设备中存储的数据进行分析,进一步确定应用的异常行为。
“ILoveFliter”
在sdcard中有个文件的目录叫做“ILoveFliter”,与恶意应用样本的名称一致。
▲”ILoveFliter”目录
打开后,是一个名为log的目录。进入该目录,是两个log文件。
▲log文件列表
log文件的尾缀日期刚好是从安装的2017年1月16日开始的。打开文件。
▲log文件详细内容
日志中详细记录了应用的操作信息,包括订阅状态记录、用户已点击付费按钮。这些关键字通过转码,例如“发送短信”,转成Unicode编码均可以在Janus深度分析平台通过检索查询的到。
“tencent”
恶意应用利用Tencent的tpush推送服务,在测试机中发现了”tencent”目录。
▲”tencent”目录
Logs目录中同样是log日志。打开其中的一个log文件。
▲log文件详细内容
可以看到一些socket连接信息和线程信息。这也说明被恶意SDK感染的恶意应用确实利用tpush进行数据推送。
“Andrew”
设备中还有一个名为“Andrew”的目录,目录中同样保存着log日志。
▲log文件详细内容
05
恶意SDK影响
该恶意SDK的样本特征为:
api.mobgkt.com
push.mobgkt.com
恶意SDK利用以上样本特征域名进行数据推送服务和恶意付费服务。
在Janus平台对恶意SDK的特征进行检索,可以检索到32款恶意行为应用。
▲“api.mobgkt.com”检索结果
而这其中,也不乏来自谷歌商店、应用宝、豌豆荚、应用汇、360应用市场等多个应用渠道的应用。
其中的某款恶意应用在谷歌商店的下载量高达50万,影响不可小觑。
▲恶意应用基础信息
在抓包的过程中,我们看到,该应用也发送设备信息到api.mobgkt.com。
▲请求头部信息
由于测试机没有安装SIM卡,所以返回信息仍旧为602。
▲服务器返回信息
这款恶意应用和“ILoveFliter”一样都存在发送短信订阅付费服务的恶意行为。
值得关注的是,在virustotal中,”ILoveFliter”这款恶意应用已经被多家安全厂商标注为具有恶意行为。
▲virustotal报告
但是在virustotal中,却没有检测出上述包名为com.gpthtwo.horoscope的应用的恶意行为。
▲virustotal报告
06
mobgkt.com
以上的恶意应用均与mobgkt.com这个域名有关联。这个网站到底是做什么的?
浏览器中打开mobgkt.com,映入眼帘的是一个类似于应用程序开发的公司官网。
▲”mobgkt.com”
打开它的产品介绍页面,共有14款应用。
▲”mobgkt.com”应用
包含这个产品页面的快照的最早的时间是2015年11月8号。在此之前,并没有相关的产品页面。
▲2015年11月8日”mobgkt.com”应用
该网站的主页面,”mobgkt.com”的界面自2014年起并未发生明显的变化。
网站上的应用程序,All-In-OneToolboxnew,WiFiBooster、DailyHoroscope等应用在恶意SDK特征搜索结果中全部命中。这也说明,该网站存在的目的,就是恶意传播恶意应用。
在Google搜过第一个应用All-In-One-Toolboxnew的过程中,我们找到了mobgkt.com的一个子域名:
http://wap.mobgkt.com/googleplay/toolbox/
在移动端打开的界面如下图所示:
▲wap.mobgkt.com
网页模仿GooglePlay做了一个仿冒页面,点击INSTALL按钮可以直接下载Toolbox这个恶意应用程序。
▲wap.mobgkt.com
网页中还仿造了GooglePlay中的评价,高达4.8的评价,几近6万多的5星好评,几千的低星评价,看起来真实可靠。
对wap.mobgkt.com这个页面进行源代码查看。
▲wap.mobgkt.com网页源代码片段
APK的下载链接并不是来自GooglePlay,而是来自mobimobcell.com这个域名。
访问down.mobimobcell.com,跳转到了亚马逊云服务页面。
▲网页跳转到亚马逊云服务某个页面
whois信息查询
对mobgkt.com进行whois信息查询,注册的联系人为“chaohao”。
▲whois查询中文结果
详细的英文注册信息如下图所示:
▲whois查询英文结果
注册人为“chaohao”,城市为“西安”,注册邮箱为op@yeahmobi.net。地址、姓名等信息都是可以伪造的,但是邮箱是注册域名时使用的邮箱。
对mobimobcell.com进行whois信息查询。注册人信息与mobgkt.com一致。
▲whois查询结果
threatbook查询
在threatbook中对域名“mobgkt.com”进行查询。
▲”mobgkt.com”查询结果
可以看到,该域名绑定的IP地址共绑定了34个域名。
▲注册人注册的域名信息
在threatbook中对mobimobcell.com进行查询。
▲mobimobcell.com关联图
注册这两个域名的注册人、邮箱,分别注册了很多域名,除了mobgkt.com,其他网站也有可能用于同样的用途。
07
一些安全小TIP
安全无小事。恶意SDK样本感染的应用还在恶意传播,仍旧有人财产受到损失,即使来自正规渠道,也会存在安全隐患。
当无法确定自己安装的应用是否为恶意程序时,可下载re管理器,查看sdcard中的文件目录和log日志,确认是否有奇怪日志。或在Janus平台查看是否安装了恶意应用。如果已经中招,建议尽快卸载木马程序。
*参考资料:https://securingtomorrow.mcafee.com/mcafee-labs/trojanized-photo-app-on-google-play-signs-up-users-for-premium-services/
最后,感谢您的阅读。:)
好了,文章到这里就结束啦,如果本次分享的wap手机网站源码分享带后台和wap手机网站模板问题对您有所帮助,还望关注下本站哦!