08月27, 2015

流量僵尸木马及流量黑产分析报告

摘 要

  • 近期,360互联网安全中心截获一批名为“流量僵尸”的手机恶意程序。截止2015年7月13日,共发现90款不同名称的应用被植入“流量僵尸”木马,包括80款游戏类应用和10款工具类应用,样本数量达到1000余个,感染手机445561部。
  • 截至2015年7月13日,360互联网安全中心共监测到流量僵尸木马的下载源289个,涉及手机应用商店16家。
  • 测试结果显示,此类木马在用户每次滑动解锁手机屏幕时都会在后台进行一次静默刷流量操作,平均每次操作消耗用户手机流量约76M。按照每个用户平均每天解锁手机屏幕150次计算(参考第三方实验统计),该木马平均每天约消耗每位用户手机流量114M。
  • 若手机安全软件未对此类木马进行查杀,则仅这44万余部被感染的手机,每天就会为木马所指向的导航网站和搜索引擎刷掉约6683万次的虚假请求量。约可占国内最大搜索引擎日均搜索请求量的68%。
  • 流量僵尸木马的攻击过程主要分三个阶段:一、下载恶意插件;二、刷指定网页;三、刷指定的搜索引擎。
  • 流量僵尸木马会联网从控制服务器上下载关键词,并使用下载到的关键词来模拟用户的搜索行为。控制服务器选取的关键词是经过精心设计的,不仅和当日新闻热点有关,而且选词范围非常丰富,这就使得木马所模拟的搜索行为看起来更加真实,更加不容易被一般的搜索引擎的反作弊机制发现。
  • 在20000次模拟测试中,木马取回的关键词里,娱乐新闻最多,占3%;其次是商品信息,25.2%;服务信息、一般新闻和时政新闻分别占比15.6%、12.7%、7.2%。
  • 流量僵尸木马的样本主要使用了4个不同的数字签名证书,其中一个数字证书的名称和木马的恶意插件下载地址均指向深圳市某科技公司。
  • 按照每千次query(访问请求)5元-20元的一般市场价格计算,若流量僵尸木马未被查杀,则此类木马可以为木马作者每天赚取约33万-134万元的经济收入。
  • 移动互联网上至少有相当数量的点击、下载、安装甚至是点赞、评论都并非是真实用户所为,而是由一些木马或自动化工具来完成的。而这些虚假的流量实际上就是移动互联上的流量泡沫。在移动互联网高速发展的今天,我们更应该警惕流量泡沫背后所隐藏的巨大黑洞。

    关键词:流量僵尸、刷流量、木马、流量损耗、资费消耗

第一章 木马概述

一、木马危害

近期,360互联网安全中心检测发现有90款手机应用的部分样本被混入了一段云控代码,该段代码会在用户不知情的情况下,从网上下载恶意插件msg.jar,msg.jar释放后在后台静默访问某知名导航网站,并联网获取关键词模拟真实用户的搜索行为在该导航网站上进行搜索操作,从而实现为该导航网站和指定搜索引擎刷流量目的。 由于这些手机应用会大量消耗用户的手机流量,故此,我们将含有该段恶意代码的应用程序命名为“流量僵尸”木马。 测试结果显示,此类木马在用户每次滑动解手机锁屏幕时都会在后台进行一次静默刷流量操作,平均每次操作消耗用户手机流量约0.76M。按照每个用户平均每天解锁手机屏幕150次计算(参考第三方实验统计),该木马平均每天约消耗每位用户手机流量114M。 截止2015年7月13日,360互联网安全中心共发现90款不同名称的应用被植入“流量僵尸”木马,包括80款游戏类应用和10款工具类应用,样本数量达到1000余个。同时,已经累计检测出感染此类木马的手机数量为445561部。若手机安全软件未对此类进行查杀,则仅这44万余部被感染的手机,每天就会为木马所指向的导航网站和搜索引擎刷掉约6683万次的虚假请求量。按照国内最大的搜索引擎每日约10亿次的搜索请求量计算,该木马伪造的搜索请求量约可占国内最大搜索引擎日均搜索请求量的6.68%。 逆向分析及测试结果显示,流量僵尸木马的数字签名和msg.jar包的下载地址均指向深圳市某软件公司。此报告发布前,360互联网安全中心已经向有关部门进行了举报。

二、木马行为

流量僵尸木马启动后,其攻击过程大致可以分解为3个阶段: 1)云控后门向服务器发起请求,联网下载并运行名为msg.jar的恶意插件; 2)从服务器上获取home页网址,之后完成对home页网址的模拟访问; 3)从服务器上获取搜索关键词,之后用此关键词对指定的搜索引擎完成模拟访问。 其中,第2)和第3)阶段都是由恶意插件msg.jar来执行的,其具体操作过程又可以分为以下六个小步骤。 1)构造初始请求JSRequest并向服务器发起请求; 2)接收服务器返回数据,初始化home页地址及跳转页JS文件下载地址; 3)调用浏览器加载服务器返回的home页,完成home页的访问; 4)发起跳转请求; 5)根据初始服务器返回的JS文件下载地址,向服务器请求JS文件; 6)加载JS文件,取回关键词,完成跳转及模拟搜索操作。 下图给出了msg.jar被加载后的运行过程示意图。

image3

与以往常见的单纯刷点击量的流量木马不同,该木马的行为,事实上是在手机后台完整的模拟了用户访问网址导航,再通过网址导航的搜索栏进行搜索的整个过程,并且会在后台接收服务器返回的所有页面数据。木马之所以会进行这样的设计,主要是为了躲避导流目标网站的反作弊机制。但是,这种完整的模拟行为也是导致用户手机流量的大量消耗的根本原因。

第二章 测试分析

为了能够定量的分析流量僵尸木马对用户手机产生的影响,我们对木马样本进行了两项测试分析,一个是流量消耗测试分析,一个是联网取词测试分析。

一、流量消耗

由于流量僵尸木马对用户访问行为的模拟非常完整,所以手机会在用户不知情的情况下,从目标网站下载大量的网页数据并在后台运行,因此会对用户手机产生很大的流量消耗。 测试结果显示,用户每解锁一次手机屏幕便会触发一次刷流量动作,每次动作连续调用android.webkit.WebView.loadUrl方法加载指定JS文件10到30次不等,具体次数取决于服务器返回的JS列表大小。 我们使用系统自带了流量检测工具Data Usage对一款被植入了“流量僵尸”木马程序样本进行测试。下图记录了一次解锁屏幕过程中,该木马样本消耗用户手机流量的情况。从图中可见,这个感染了木马的应用程序在屏幕解锁前后的前台流量没有变化,均为为3.99MB,而后台流量却从7.96M增加到了8.69M,也就是说,在这一过程中,木马使被感染的应用程序多消耗了用户手机0.73M的流量。此外,后台监测记录还显示,该木马样本在本次测试中,共调用android.webkit.WebView.loadUrl方法11次。

image4

木马的刷量行为由用户解锁屏幕触发,流量的损耗程度与用户解锁手机的次数成正比。我们对十次解锁过程中该软件后台消耗的流量进行统计,得到如下流量损耗统计图:

image5

统计结果显示平均每次刷量的流量损耗为0.759M,也就是用户每解锁一次屏幕损耗约0.759M流量,每100次解锁便会损耗约75.9M流量。

二、联网取词

为了进一步研究流量僵尸木马的行为特征,2015年7月22日,我们对部分木马的样本进行了一次取词测试。我们将部分流量僵尸木马的样本置于沙箱中进行了20000次的测试实验,并将服务器提供给木马的搜索关键词进行了记录分析。统计结果显示,在这20000次的测试中,木马样本共从服务器取回搜索关键词474个(去重),单个关键词最多被重复取回了358次。这些搜索关键词大致可以分为5种类型:时政新闻、娱乐新闻、一般新闻、商品信息和服务信息。从不同类型的关键词被取回的总次数来看,娱乐新闻最多,占39.3%;其次是商品信息,25.2%;服务信息、一般新闻和时政新闻分别占比15.6%、12.7%、7.2%。

image6

下表给出了测试过程中,木马从服务器取回并模拟搜索次数最多的10个搜索关键词。

TOP 搜索关键词 取回次数
1 单县湖西公园爆炸 358
2 刘志军高铁利益链 321
3 卡尼吉亚爱女巨乳半露 314
4 令计划被双开 310
5 宝马车中喝药自杀 307
6 C罗巨乳偷情女诱惑 301
7 香港名模穿比基尼拍孕照 284
8 美国环保人士裸体抱树抗议伐木 271
9 男女地铁内大尺度亲热接吻 248
10 女主播与男粉丝玩湿身诱惑 245

表1 木马联网取词TOP10

下表给出了木马从服务器上取回的各类搜索关键词中的“热词”举例。

搜索关键词类型 搜索关键词举例
时政新闻 刘志军高铁利益链、令计划被双开、美国环保人士裸体抱树抗议伐木、 习仲勋夫人齐心率子女献花圈、丁书苗利益链揭秘、盘点最致命五款美国军机、国际足联主席布拉特遭扔钱袭击、德军士兵进行步兵与战车协同演习、中美俄顶尖战机生产线对比、土耳其叙利亚边境小镇发生爆炸
娱乐新闻 卡尼吉亚爱女巨乳半露、C罗巨乳偷情女诱惑、香港名模穿比基尼拍孕照、男女地铁内大尺度亲热接吻、女主播与男粉丝玩湿身诱惑、“塞娅公主”当众给女儿喂奶、沈阳地铁内上演男女大尺度“激情戏”、将错就错:小沈阳痴恋熊黛林、美女主播上演人体保龄球、试衣间不雅视频男女主角被警方带走
一般新闻 单县湖西公园爆炸、宝马车中喝药自杀、警察用枪指人头、英国男子到13岁才发现自己是女儿身、霍金寻外星生命、妻子翻丈夫手机发现多张出轨照、女孩被锁车中湿透、农村创业好项目、头像“睁一只眼闭一只眼”、女子冒充车模颜值太低被劝走
商品信息 发电机、电子地磅、污水处理设备、现货白银、冷却塔、二氧化氯发生器、生活污水处理设备、钢丝网骨架塑料复合管、制砂机、土工膜
服务信息 种植头发、赴美生子、英语培训、pmp考试、转让商标、美国移民、干洗店加盟、p2p理财、搬家公司、婚纱摄影

表2 木马联网取词各类搜索关键词热词举例

从木马联网取词的结果分析来看,流量僵尸木马的控制服务器对于搜索关键词的选取显然是经过精心设计的,不仅和当日新闻热点有关,而且选词范围非常丰富,这就使得木马所模拟的搜索行为看起来更加真实,更加不容易被一般的搜索引擎的反作弊机制发现。

第三章 代码分析

为了进一步了解流量僵尸木马的具体技术原理,我们对流量僵尸木马的样本进行了逆向分析。下面就从木马攻击的三个主要阶段分别进行分析。

一、下载恶意插件

样本启动后,云控后门向服务器发起请求,联网下载名为msg.jar 的恶意插件,下载信息如下面的数据包截图所示:

image7

截至2015年7月13日,恶意插件msg.jar的最新版本为1.3.6,下载链接根据版本号的升级也会发生变化,该版本号MD5如下表:

下载链接 MD5
http://msgdown.xinyinhe.com/717/updata/1.3.6/msg.jar d072e64ee40af86341fdae551964c1f3

表3 msg.jar**基本信息**

木马下载msg.jar之后使用动态加载的方式加载该插件,插件启动后开启后台线程执行恶意刷流量动作。

二、刷指定网页

样本首先访问初始网址http://hao.yhshiji.com/haoaff/api/2 获取home页地址及跳转页JS文件信息,获取信息的数据包如下图所示: image8 解码返回数据得到如下信息,其中“home”字段对应home页地址,“js”字段对应要跳转到的JS页文件: {"home":"http://m.hao123.com/?union=1&from=1012771e&tn=ops1012771e","js":[{"url":"http://hao.yhshiji.com/haoaff/hao123.js"}],"result":0,"status":0,"version":1}。 接着后台调用浏览器加载返回的home页地址,即访问某知名导航网站的主页,以伪造该网站的访问记录:

image9

完成home页的加载后立即跳转到js页面,伪造一次“真实”的网站访问过程:

image10

整个过程在后台执行,用户完全无感知。通过输出样本日志我们获取到加载js文件时获取的服务器内容,如下图所示:

image11

三、刷搜索引擎

在分析木马的网络数据包中时,我们发现如下格式的网络请求:

image12

请求的Referer指向某知名导航网站,以此方式来伪造在该网站上进行关键词搜索的动作,达到给该网站刷流量的目的。将请求地址复制到浏览器中打开,可以看到生成关键词链接:

image13

点击上图左侧的推广关键词链接跳转到如下搜索页面:

image14

第四章 流量黑产

一、木马制作

截止2015年7月13日,360互联网安全中心共发现90款不同名称的应用被植入“流量僵尸”木马,样本数量达到1000余个,感染手机445561部。通过分析木马样本的数字证书发现,“流量僵尸”木马的样本主要使用了4个不同的数字签名证书,分别是: 1)CN=ngsteam, OU=ngsteam, O=xinyinhe, C=CN 2)CN=google, OU=google, O=android, C=CN 3)CN=Android Debug, O=Android, C=US 4)EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US 其中,前两个证书共占到目前已截获样本总量的61%。 下图是感染流量僵尸木马的样本证书分布情况。

image15

进一步分析发现,证书CN=ngsteam, OU=ngsteam, O=xinyinhe, C=CN(以下简称a证书)的名称与恶意插件msg.jar的下载地址均指向深圳市某科技公司。 而在目前360互联网安全中心已经截获的所有使用a证书的3600余个APP样本中,约70%存在私自下载行为,而且这种情况已经至少持续了12个月以上。

image16

二、木马传播

在目前已经截获的90款感染流量僵尸木马的应用中,80款为游戏类应用,占88.9%,10款为工具类应用,占11.1%。

image17

鉴于被感染应用为木马作者精心制作的某些游戏和常用工具的同名应用,同时,这些同名应用中也只有一部分是感染了流量僵尸木马的。为避免引起读者误解和恐慌,本报告暂不公布这90款存在感染流量僵尸木马现象的应用的具体名称。相关信息已经在报告发布的之前通报给了各应用厂商。 此外,截至2015年7月13日,360互联网安全中心共监测到流量僵尸木马的下载源289个,涉及手机应用商店16家。其中流量僵尸木马下载量最大的两个应用商店,下载量分别占到了该木马下载总量的20.4%和17.1%。 鉴于绝大多数应用商店中存在流量僵尸木马的情况应当属于无心之过,本报告中暂不披露相关应用商店的具体名单和木马下载量情况。在本报告发布之前,360互联网安全中心已经将相关木马信息通报给了国内各大手机应用商店。

三、黑产利益链

截止2015年7月13日,360互联网安全中心已经监测到感染流量僵尸木马的手机445561部。根据前述分析,若手机安全软件未对该木马进行查杀,则仅这44万余部被感染的手机,每天就会为木马所指向的导航网站和搜索引擎刷掉约6683万次的虚假请求量。按照国内最大的搜索引擎每日约10亿次的搜索请求量计算,该木马伪造的搜索请求量约可占国内最大搜索引擎日均搜索请求量的6.68%。 事实上,通过制作手机木马为指定网站刷流量的行为,已经形成了一条非常隐蔽的黑色产业链,其本质是拿用户的手机流量费为木马作者盈利,同时也能在很大程度上帮助被刷网站赚取更多的广告收入——这也是部分网站对某些厂商用木马帮自己刷流量行为睁一只眼、闭一只眼的主要原因。 下图给出了手机木马刷流量黑产利益链条的基本形式。从图中可以看出,由木马制造的虚假流量也可以成为网站或搜索引擎欺骗广告主,虚报流量和用户量的依据。而在这一过程中,用户损失的是手机话费,广告主损失的是广告费。被木马导流的网站会与木马作者进行分成。

image18

需要说明的是,目前互联网企业的导流量分成一般有两种基本模式:一是按照约定金额和有效导流次数进行分成;二是进行资源互换,合作双方相互推广,相互导流。 例如,就一般的市场价格而言,某主流搜索引擎厂商会根据导入流量多少的不同,分阶梯的给予流量提供者每千次query(访问请求)5元-20元不等的酬劳。以此价格计算,若流量僵尸木马不被查杀,目前仅360互联网安全中心已经监测到的44万余部被感染手机平均每天能够产生的6683万次的虚假请求量,就可以为流量僵尸的木马作者每天赚取约33万-134万元的经济收入。 可见,制作木马的的确确可以日赚百万。

第五章 流量泡沫

事实上,流量僵尸木马只不过是消耗用户手机流量,为网站制造虚假请求量的众多手机木马中的一个而已。根据360互联网安全中心发布的《2015年第二季度中国手机安全状况报告》数据显示,在2015年4-6月截获的所有550万个安卓平台恶意程序中,通过静默访问等形式消耗用户手机流量资费的恶意程序样本多达442.8万个,占比高达80.5%。相比之下,流量僵尸木马的1000余个样本甚至仅为这一数字的0.2‰。由此可以想象由各种木马造成的虚假的移动互联网流量,其规模是何等的庞大。

image19

除了木马之外,网上还有很多公开或半公开的虚假流量交易。比如,下图就是在某购物网站上搜索“刷网站流量”一词所得到的查询结果页面。可以看出,想在网上购买点击量、广告点击量都不难找到。

image20

除了基本的刷流量和点击量之外,还有一些比较“高级”的刷法,如:刷下载量、刷激活量(APP被下载之后至少被打开使用一次)和刷存活量(APP下载之后还必须在一定时间内被持续使用)等。而这些业务也都能比较容易的在网上找到。下图两图是在某购物网站上分别搜索“app刷激活”和“app刷存活量”(实为“app刷量”)这两个词所得到的结果。

image21

image22

从图中可见,下载、安装、注册、激活、评论,什么都可以刷,而且安卓、苹果都能刷。 下图是某个专门给苹果iOS系统APP刷量的“宝贝”详情截图。其中给出的可刷选项更加丰富,不仅包括存留、日活(每日活跃数量)等,还可以刷时长分布这种“高级选项”。

image23

除了网站流量外,社交网络也是可以刷的。下面几张图是我们在某手机应用商店中查询到的一些专门针对腾讯微信、QQ和QQ空间的刷赞、刷人气工具。

image24

image25

image26

由上述分析可见,移动互联网上至少有相当数量的点击、下载、安装甚至是点赞、评论都并非是真实用户所为,而是由一些木马或自动化工具来完成的。而这些虚假的流量实际上就是移动互联上的流量泡沫。虽然我们很难准确的估算流量泡沫究竟有多大,但它一定远远超出了我们一般人的想象。在移动互联网高速发展的今天,我们更应该警惕流量泡沫背后的所隐藏的巨大黑洞。

本文链接:http://blogs.360.cn/post/analysis_of_flowzombie.html

-- EOF --

Comments