安全公司报告
文库搜索
切换导航
文件分类
频道
文件分类
批量下载
“道贼” SDK:揭秘操控数 百万 Android 手机的恶意营 销插件 发布机构: 奇安信病毒响应 中心 2020年7月 1 日 2 目录 “道贼”SDK:揭秘影响数百万 ANDROID 手机的移动互联网恶意营销插件 .......... 1 威胁概述 ................................ ................................ ................................ ................ 3 “道贼”SDK之技术分析 ................................ ................................ .......................... 3 恶意功能 ................................ ................................ ................................ .................. 4 加载方式 ................................ ................................ ................................ .................. 6 影响面及溯源 ................................ ................................ ................................ ......... 7 受影响 ANDROID应用 ................................ ................................ ............................... 7 可能的传播途径 ................................ ................................ ................................ .... 10 感染量省级分布 ................................ ................................ ................................ .... 10 C&C资源及访问特点 ................................ ................................ ............................ 11 与黑产服务器的重叠 ................................ ................................ ............................ 12 始作俑者溯源 ................................ ................................ ................................ ........ 13 总结 ................................ ................................ ................................ ...................... 14 附录 ................................ ................................ ................................ ...................... 15 “道贼”SDK相关 IOC S ................................ ................................ ............................. 15 奇安信威胁情报中心 ................................ ................................ ............................ 26 红雨滴团队( REDDRIP TEAM) ................................ ................................ ............... 27 参考链接 ................................ ................................ ................................ ................ 29 3 威胁概述 2020年5月,奇安信病毒响应 中心移动安全团队 在日常的威胁分析运 营过程中发现一款 Android平台的恶意 SDK插件,联合安天移动 安全团队 和其他安全研究机构进行深入分析 拓展,确认 SDK具有收集用户隐私信息 和下载执行更多恶意插件的能力 。对影响面的分析显示 这款恶意 SDK插件 被市面上 数百款 Android应用集成 ,结合恶意 SDK后续插件下载量以及奇 安信威胁雷达遥测数据分析 估算至少有 200万台以上的独立 Android终端设 备安装了带有该恶意 SDK插件的应用。基于该恶意 SDK的行为特点以及溯 源到的幕后 组织信息,我们将其命名为“ 道贼”。 基于奇安信威胁情报中心 大数据平台监测,“道贼” SDK自2019年7 月开始被 投入使用, 持续至今累计 至少感染 数百万级移动终端 用户。“道贼” SDK内的恶意代码 通过直接的内嵌插包或间接的动态加载 运行, 运行后 会上 传用户安装的应用列表及手机固件等隐私信息,并从服务器下载执行由攻击 者指定的插件 ,给用户设备造成巨大 的现实隐私泄露风险和潜在的进一步恶 意活动的 安全威胁。通过分析该恶意 SDK幕后组织的业务范围,并结合插 件盗取用户隐私信息的特点来看 ,“道贼” SDK的最终目标是为了帮助幕后 组织通过恶意互联网营销以牟取丰厚的黑灰色收入。 为防止威胁进一步扩散, 奇安信病毒响应中心对 该移动安全事件进行 分析和披露。 “道贼” SDK之技术分析 通过分析和关联, 至今我们发现到已有 247款APP受到该 SDK影响, 累计共 367个样本。 4 恶意功能 奇安信病毒响应 中心移动安全团队和 安天移动安全团队 对SDK的具体 功能做了深入分析,目前基本确认 存在收集用户 隐私和云控执行控制功能 , 基于此 SDK事实上构建了一个百万级别受控系统的 Botnet,随时可以执行 各种包括推广刷量到网络攻击等各种恶意功能 。 收集用户隐私 受感染的 Android手机应用 启动后, “道贼” 便会上传手机已安装应用 列表、运行中的应用列表、 是否开启通知栏 权限、存储卡和内存大小 等移动 设备隐私信息 至攻击者 服务器。 上传移动设备隐私信息参考图 1 5 上传移动设备隐私信息参考图 2 云控执行插件 “道贼” SDK还会根据攻击者下发的加密指令下载执行更多的恶意插件 : 例如通过解密 下发的加密云端指令信息 ,并根据解密后的云端指令进一步 下 载指定的插件并 执行,给用户设备造成巨大 的安全威胁。 根据攻击者下发的加密指令下载执行更多的恶意插件 6 加载方式 奇安信病毒响应中心移动安全团队 与安天移动安全团队 针对感染了 “道 贼” SDK的Android 手机应用进行详细分析后发现, 一旦用户运行了相关 APP,就会自动触发 “道贼” SDK的恶意攻击。而“道贼” SDK使用到了两 种不同加载方式,我们将对这两种加载方式进行详细分析。 内嵌插包加载 通过分析发现,相关 黑产组织 会直接把“道贼” SDK经过加密后,采用 插包方式植入 到被感染 APP的入口 activity或者入口 Application 中,一旦 相 关APP运行,就会自动触发 恶意攻击。需要注意的是 ,为了对抗安全检测, 不同的 APP所植入的 “道贼” SDK并不会完全一样。 “道贼” SDK内嵌插包 后修改的 入口 activity及入口 Application 代码截图 动态间接加载 为躲避一些传统安全厂商的恶意代码检测技术,攻击者还会采用更加隐 蔽的动态加载“道贼”插件的方式。比如在 APP运行后,通过解析服务器下 发的插件配置指令文件,再加载执行指定的恶意插件,而其 中就包含着“道 贼”恶意插件。 7 动态加载的代码图 动态加载 “道贼”插件参考图 影响面及溯源 受影响 Android 应用 通过分析和关联,我们发现 “道贼” SDK插件被市面上 数百款 APP使 用,结合恶意 SDK后续插件下载量以及奇安信威胁雷达遥测数据分析后发 现:至少有 200万台独立 Android终端设备安装了带有
奇安信 “道贼”SDK:揭秘操控数百万Android手机的恶意营销插件
文档预览
中文文档
29 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共29页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 思安 于
2022-11-26 08:01:58
上传分享
举报
下载
原文档
(1.7 MB)
分享
友情链接
ISO-IEC 29110-5-6-4 2025 Systems and software engineering - Life cycle profiles for very small entities (VSEs) - Part 5-6-4 Systems engineering guidelines for the generic Advanced profile.pdf
ISO-IEC TR 30189-1 2025 Internet of Things (IoT) IoT-based management of tangible cultural heritage assets Part 1 Framework.pdf
ISO-IEC 18046-5 2025 Information technology - Radio frequency identification device performance test methods - Part 5 Test methods for the environmental characteristics of RFID tags used in sporting g.pdf
ISO-IEC TR 19583-24 2025 Information technology - Concepts and usage of metadata - Part 24 11179-3 2013 Metamodel in RDF.pdf
ISO TS 12025 2021 Nanomaterials — Quantification of nano-object release from powders by generation of aerosols.pdf
ISO 15016 2025.pdf
ISO IEC 7816-3 2006 AMD1 2025.pdf
ISO 20257-1 2020 Installation and equipment for liquefied natural gas Design of floating LNG installations Part 1 General requirements.pdf
ISO 20251 2016 Textile floor coverings — Water impermeability test.pdf
ISO-IEC 20153 2025 Information technology - OASIS Common Security Advisory Framework (CSAF) v2.0 Specification.pdf
GB-T 39635-2020 金属材料 仪器化压入法测定压痕拉伸性能和残余应力.pdf
GB 19781-2005 医学实验室-安全要求.pdf
GB-T 13782-1992 纺织纤维长度分布参数试验方法 电容法.pdf
GB-T 20036-2005 纺织机械与附件 多臂装置用连续纹纸 尺寸.pdf
GB-T 38217-2019 公共安全 建立合作约定指南.pdf
GB-T 22432-2021 集装箱运输电子数据交换 船舶挂靠信息报文.pdf
GB-Z 26210-2010 室内电气照明系统的维护.pdf
GB-T 20331-2006 直柄机用1 50锥度销子铰刀.pdf
GB-T 18310.2-2001 纤维光学互连器件和无源器件 基本试验和测量程序 第2-2部分 试验 配接耐久性.pdf
GB-T 36174-2018 金属和合金的腐蚀 固溶热处理铝合金的耐晶间腐蚀性的测定.pdf
1
/
3
29
评价文档
赞助2元 点击下载(1.7 MB)
回到顶部
×
微信扫码支付
2
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。