报告｜关于“Dvmap”安卓恶意软件分析报告

发布时间：2017-06-10 06:16:27 所属栏目：安卓资讯来源：www.yidianzixun.com

导读：6月8日下午，卡巴斯基发布Dvmap手机恶意软件分析报告。安天移动安全分析团队连夜进行紧急响应，初步完成移动恶意样本分析与移动威胁情报分析，并于6月9日上午发布报告，报告全文如下。2017年6月8日下午，国际知名反病毒厂...

由于该恶意软件colourblock自3月下旬起，采用了在同一天内交替上传该软件的恶意版本与无害版本、借以绕过Google Play对其进行安全性检查的方式，导致其一直利用Google Play市场进行分发。借由此种方法多次上传其恶意版本及对其恶意载荷的加密处理，自3月下旬起至被卡巴斯基公司举报下架为止，该恶意软件已被累积下载超过50000次。

2.2.1恶意样本数量种类分析

安天移动安全团队利用其自有的AVL Insight 2.0移动威胁情报平台，通过移动安全大数据对该恶意软件进行软件包名、开发者证书及样本hash值等多维度查询分析，发现该恶意软件样本版本与种类远大于卡巴斯基原报告中所提供的2种，而多达49种之多，即说明该恶意软件交替上传恶意与无害版本至Google Play的行为时间跨度更大、频率更高。

部分恶意软件样本hash值

2.2.2恶意样本植入终端数据分析

根据AVL Insight 2.0终端安全检测数据分析，该恶意软件自其开发者证书生效当日即开始传播，并在较集中时间内完成早期第一次植入活动。

部分恶意样本早期植入终端数据

如上图所示，可以看出在AVL Insight移动威胁情报数据来源范围内，该恶意样本的早期第一次植入终端所在地域主要分布于印度尼西亚与印度。

而从该恶意软件初次上传到Google Play起截至今日，AVL Insight移动威胁情报平台所捕获被成功植入恶意样本的965台终端中，分布于印度尼西亚与印度的数量分别为220台与128台，占比分别为22.79%与13.26%，排第三的为加拿大，其被植入恶意样本的终端数量仅为48台，印度尼西亚区域内被植入恶意样本的终端数量在统计范围中占明显优势。

2.2.3恶意样本载荷植入终端数据分析

根据对4种恶意样本的抽样静态与动态分析（分析报告见上节），发现该恶意样本的加密部分内含伪装成高通应用的远程控制程序com.qualcmm.timeservices，对该远程控制程序植入终端数据分析结果如下：

载荷植入终端早期数据

如上图所示，恶意样本载荷的样本数据初次采集时间为4月19日，植入终端所在位置为德国，但经深度分析后发现该样本运行环境为Remix OS For PC安卓模拟器，且其实际连入互联网方式为使用安全公司Avira的德国VPN服务器，因此具备较大的病毒测试设备嫌疑。由此可见，载荷植入终端早期数据中的第一台终端所在位置，有较大几率处于印度尼西亚。

同样对该载荷初次被捕获起截至今日的植入终端数据进行整体分析，AVL Insight移动威胁情报平台所捕获被成功植入恶意样本载荷的221台移动终端中，分布于印度尼西亚的数量为50台，印度的数量为20台排名第二，分别占22.62%与9.04%，印度尼西亚区域内被植入恶意载荷的比例显著最高。

2.2.4威胁情报TTP分析

根据对恶意样本colourblock的Google Play市场缓存及全球其他分发来源的页面留存信息，得到Retgumhoap Kanumep为该恶意样本声明的作者姓名，但通过全网搜索与大数据碰撞比对，并不存在以该姓名发布的其他软件与该姓名相关的任何网络信息。

通过对该姓名Retgumhoap Kanumep的解读分析，发现将其姓“Kanumep”各字母从右至左逆序排列则为Pemunak，即印度尼西亚语“软件”之意：

Google翻译截图

而对其名字“Retgumhoap”进行分词为“Retg-umhoap”，由于“retg-”前缀为“return（返回）”之意，故尝试将“umhoap”字母排列逆时针转动180度，得到如下结果：

对单词“deoywn”进行全网搜索可知，曾有机器人程序使用邮箱 bkueunclpa@deoywn.com在大量互联网站留言板页面自动发布留言：

使用可疑邮箱填写的留言板搜索结果

对该邮箱ID “bkueunclpa”进行语言识别，得知其为印度尼西亚方言：

Google翻译截图

根据上节所述，恶意样本载荷向位于亚马逊云的页面接口回传数据，该页面接口（已被关闭）如下：

http://d3pritf0m3bku5.cloudfront.net/android/event.php?tc=%s&rc=%s&xc=%s&rtsid=%s&v=2&type=1&tm=%d

根据域名“d3pritf0m3bku5”分析，即“de pritfomebkus”，尝试用Google翻译识别其语种，仍为印度尼西亚方言：

Google翻译截图

三、分析结论

根据上节分析内容，可以初步认为在卡巴斯基原分析报告中专门提及的中文代码注释问题，应只是该恶意软件编写者直接使用了中国开发者编写的Kingroot脚本，而非直接与中国恶意软件开发者产生明显联系。

（编辑：186手机网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

3/4

首页

尾页