Clicker木馬新家族:Haken木馬
一、概述
Clicker木馬是廣泛的惡意程序,旨在提高網站訪問率在線賺錢。它們通過單擊鏈接和其他交互式元素來模擬網頁上的用戶操作,實現無聲地模擬與廣告網站的交互,自動訂閱付費服務。該木馬是一個惡意模塊,它內置於普通應用程序中,例如字典,在線地圖,音頻播放器,條形碼掃描儀和其他軟件。
Clicker木馬報告: “A.I.type”虛擬鍵盤”的風險提示 。
最近暗影實驗室在Google Play上發現了一個新的Clicker惡意軟件家族Haken木馬。該應用是一款提供位置方向服務的應用。與利用不可見Web視圖的創建和加載來執行惡意點擊功能的Clicker木馬和Joker木馬不同,Haken木馬通過將本機代碼注入Facebook和Google廣告SDK的庫中來實現模擬用戶點擊廣告功能。通過點擊廣告來提高網站訪問量賺取錢財。
圖1-1Google Play上應用信息
用戶抱怨該應用會彈廣告,建議謹慎下載。
圖1-2 用戶對該應用的評論
二、技術分析
該程序的第一個入口是BaseReceiver廣播接收器。其中註冊了許多action,使該廣播很容易被觸發。
圖2-1 註冊BaseReceiver廣播
在該接收器內加載了lib庫文件。通過在native層的startTicks函數調用本地com / google / android / gms / internal / JHandler”類中的“clm”方式。
圖2-2 加載庫文件反射調用本地方法
此方法中註冊了兩個工作線程和一個計時器。其中wdt線程與C&C服務器通信獲取最新配置信息。而w線程由定時器觸發用於檢查配置信息並將代碼注入到廣告SDK(如Google的AdMob和Facebook)的與廣告相關的Activity類中。
圖2-3 註冊兩個工作線程
工作線程一:
在wdt線程中與服務器交互獲取最新配置信息。服務器地址被編碼: http://13.***.34.16 。
圖2-4 服務器交互
服務器下發的配置信息,其中包括用於更新服務器交互的地址。
圖2-5 從服務器獲取配置信息
工作線程二:
w線程在設備已聯網且應用已定時啓動60000ms的情況下,啓動活動。通過生成在1-4間的隨機數匹配到啓動哪個活動,這四個活動用於將代碼注入到Facebook和Google廣告類中,實現加載廣告並模擬點擊廣告。
圖2-6 注入Facebook和Google
圖2-7 加載廣告
模擬用戶點擊,點擊從廣告SDK中接收到的廣告,這些功能都是通過反射機制實現的。
圖2-8點擊從廣告SDK中接收到的廣告
服務器後臺:
我們通過於應用與服務器交互的地址進入到該應用的服務器後臺,發現該應用的開發者使用XAMPP平臺搭建了個人網站和服務器。
圖2-9 Haken木馬個人網站
服務器後臺包含2個js文件。Js文件用於代碼的注入實現模擬點擊功能。
圖2-10 Haken木馬服務器後臺
三、樣本信息
| 應用名 | 包名 | Sha256 |
|---|---|---|
| Compass | com.haken.compass | 30bf493c79824a255f9b56db74a04e711a59257802f215187faffae9c6c2f8dc |
| Qrcode | com.haken.qrcode | 62d192ff53a851855ac349ee9e6b71c1dee8fb6ed00502ff3bf00b3d367f9f38 |
| Coloring Book | com.faber.kids.coloring | 381620b5fc7c3a2d73e0135c6b4ebd91e117882f804a4794f3a583b3b0c19bc5 |
| Fruits Coloring Book | com.vimotech.fruits.coloring.book | f4da643b2b9a310fdc1cc7a3cbaee83e106a0d654119fddc608a4***7c5552a3 |
| Soccer Coloring Book | com.vimotech.soccer.coloring.book | a4295a2120fc6b75b6a86a55e8c6b380f0dfede3b9824fe5323e139d3bee6f5c |
| Fruit Helix Jump | mobi.game.fruit.jump.tower | e811f04491b9a7859602f8fad9165d1df7127696cc03418ffb5c8ca0914c64da |
| Number Shooter | mobi.game.ball.number.shooter | d3f13dd1d35c604f26fecf7cb8b871a28aa8dab343c2488d748a35b0fa28349a |
四、情報擴展
“Joker”惡意軟件家族最早於2019年9月在Google Play上被發現,暗影實驗室在2019年9月28號通過 反間諜之旅—模擬訂閱高級服務 一文向用戶發出風險預示。
該惡意軟件被用來向用戶訂閱高級服務,無聲地模擬與廣告網站的自動交互包括模擬點擊和輸入高級服務訂閱的授權代碼。在過去幾個月中Joker不斷出現在Google Play商店中。
我們最近在Google Play上發現了另外四個Joker樣本,已下載130,000+次。以下爲樣本信息。
| 應用名 | Sha256 |
|---|---|
| com.app.reyflow.phote | 08f53bbb959132d4769c4cb7ea6023bae557dd841786643ae3d297e280c2ae08 |
| com.race.mely.wpaper | 44102fc646501f1785dcadd591092a81365b86de5c83949c75c380ab8111e4e8 |
| com.landscape.camera.plus | 9c713db272ee6cc507863ed73d8017d07bea5f1414d231cf0c9788e6ca4ff769 |
| com.vailsmsplus | 1194433043679ef2f324592220dcd6a146b28689c15582f2d3f5f38ce950d2a8 |
*本文作者:暗影安全實驗室,轉載請註明來自FreeBuf.COM
