Google Play里的免费应用程序可能造成的安全隐患

导语:利用欺诈性应用来发送收费短信或拨打诈骗电话早已不是什么新的诈骗手段了。目前这种欺诈手段尤其在西班牙,俄罗斯和一些其他欧洲国家非常盛行。

timg.jpg

本文是Elevenpaths(Telefónica网络安全部门,Telefónica创立于1924年,是西班牙的一家大型跨国电信公司)和卡巴斯基实验室合作的结果。两家公司都使用自己的专业知识,研究人员和工具,如Tacyt(用于监控和分析移动威胁的创新工具)和GReAT的内部工具和资源来进行恶意软件追踪和分析。

Google Play里的免费应用程序

利用欺诈性应用来发送收费短信或拨打诈骗电话早已不是什么新的诈骗手段了。目前这种欺诈手段尤其在西班牙,俄罗斯和一些其他欧洲国家非常盛行。

最近,Elevenpaths和卡巴斯基实验室就找到了一个使用西班牙语的网络攻击组织,并亲眼看到了这个组织是如何成功上传了一个非官方版本的真人秀节目《老大哥》电视节目应用程序的,《老大哥》是西班牙最流行的电视节目之一。

expensive_en_1.jpg

分析:cdd254ee6310331a82e96f32901c67c74ae12425

《老大哥》电视节目应用程序并不是一个非常复杂的应用程序,但他们能够使用很简单的技巧把带有欺诈程序的非官方版本上传到Google Play:

第一步,他们会上传了一个没有任何欺诈程序的版本,当然前提是这个版本已经通过Google Play的安全检测或本身就是来自Google Play;

第二步,几天后,这个犯罪组织会上传了一个新版本,用于对原来那个旧版本的功能更新,包括订阅付费等服务,这个技巧虽然听起来非常简单,但却成功了,因为该欺诈性应用程序在Google Play大约保留了两个月(从2015年9月中旬到11月中旬),我们可以想象在这两个月的时间里,有多少用户因此而受到攻击。

expensive_en_2-271x300.png

不过,这似乎这不是这个组织第一次上传这样的类似应用程序了。Elevenpaths和卡巴斯基实验室通过Tacyt 已经检测到至少还有另外4个类似的应用程序已经被成功的上传了,Elevenpaths和卡巴斯基实验室在这些代码中发现的一些特定的日志消息,并且有相同的来源:

com.granhermano.gh16_1; 从 2015-09-15 到 2015-09-22;
com.granhermano162; 从 2015-09-29到 2015-11-14;
com.granhermanodieciseis;从 2015-09-29到 2015-11-11
com.granh.gh16_3; 从 2015-10-05到 2015-10-15;

com.hisusdk; 从 2015-09-16 到 2015-11-14(这个就是上面分析的那个电视节目的恶意程序)

通过对比分析,这个犯罪组织会使用一个特定的字符串“caca”作为日志标记, 

expensive_en_3.png

单词“caca”是西班牙语中的一个口语单词,与排泄物非常相似。Elevenpaths和卡巴斯基实验室可以在某些测试代码中找到它,“caca”应该指代的是以后可以删除的代码行,但是在这种类似的应用程序中找到它并且以相同的方式使用是不寻常的。因此,由代码中使用的其他字符串和函数名称可以得出结论,这些应用程序可能是由西班牙语开发人员开发的。

另外这些恶意应用程序正在使用几个商业第三方服务,如Parse.com服务器来进行的首次网络通信。使用API调用以获取运行进一步操作(URL,身份验证等)所需的所有信息。

{“results”:[{“Funcionamiento”:” Ahora la única pestaña importante es la de VOT.”,”action1″:”http://tempuri.org/getPinCode”,”action2″:”http://tempuri.org/crearSubscripcion”,”activa”:”si”,”createdAt”:”2015-09-08T16:17:24.550Z”,”estado”:true,”id_categoria”:”2608″,”id_subscripcion”:”400″,”metodo1″:”getPinCode”,”metodo2″:”crearSubscripcion”,”namespace”:”http://tempuri.org/”,”nombreApp”:”GH16 – españa”,”numero_corto”:”795059″,”numero_sms”:”+34911067088″,”objectId”:”tNREzkEocZ”,”password”:”15xw7v7u”,”updatedAt”:”2015-11-27T10:28:00.406Z”,”url”:”http://ws.alertas.aplicacionesmonsan.net/WebSubscription.asmx?WSDL”,”urlcode”:”http://spamea.me/getcode.php?code=”,”usuario”:”yourmob”,”vot”:true}]}

如上所述,它引用了不同的URL:

spamea.me已经是一个不再存在的服务了,但是以前在107.6.184.212上托管,这似乎是与许多其他网站共享的托管服务。

1486353749443911.png

ws.alertas.aplicacionesmonsan.net是合法的服务,专注于移动盈利,包括短信收费和直接从运营商那里获取费用。这个应用程序会让用户订阅到一个名为“yourmob.com”的服务。

expensive_en_5.png

当然,使用付费服务本身并不构成欺诈,但是公司应该预先让用户弄清楚收费服务的条款和细节。

1486353961960962.png

尽管Elevenpaths和卡巴斯基实验室发现ws.alertas.aplicacionesmonsan.net引用了网站servimob.com的“条款和条件”(西班牙语),但这些条款是不会向用户显示的,也就是说用户根本就没有机会拒绝收费协议和决定要不要订阅相关服务。

有趣的是,如果一个犯罪组织在Google Play中加入了这种类型的应用,他们将尝试使用其他应用来源类似的东西。

分析:9b47070e65f81d253c2452edc5a0eb9cd17447f4

expensive_en_7-217x300.png

这个应用程序工作略有不同。它使用其他第三方服务,并发送收费短信用于获利。他们从服务器收集到用户的号码,使用了多少秒以及用户是否应该打开或关闭该应用的屏幕。

Elevenpaths和卡巴斯基实验室发现这个应用程序样本使用的办法和《老大哥》电视节目应用程序非常相似,而且代码里大部分是西班牙语,其中就包括“caca”。

expensive_en_8.png

这个应用程序使用的其中一个Web服务(http://104.238.188.38/806/)已经公开了一个控制面板,显示有关使用此应用程序的用户的信息:

1486354441966721.png

由于目前开发这种应用程序会非常的昂贵,所以犯罪组织一旦在研发成功后就会重复使用他们的服务器并支持多个应用程序来使用,例如这一个:

https://www.virustotal.com/en-gb/file/cc2895442fce0145731b8e448d57e343d17ca0d4491b7fd452e6b9aaa4c2508a/analysis/

它使用这个vps以及http://vps237553.ovh.net。 VPS提供的一些面板和服务位于这里:

http://vps237553.ovh.net/nexmo/getcode.php?code=
http://vps237553.ovh.net/polonia/autodirect1.php
http://vps237553.ovh.net/polonia/autodirect2.php
http://vps237553.ovh.net/polonia/guardar_instalacion.php
http://vps237553.ovh.net/polonia/guardar_numero.php
http://vps237553.ovh.net/polonia/guardar_numero.php?androidID=
http://vps237553.ovh.net/polonia/guardar_sms.php
http://vps237553.ovh.net/polonia/push_recibido.php
http://vps237553.ovh.net/polonia/panel.php
http://vps237553.ovh.net/nexmo/

我们可以在他们的控制面板中看到,他们在传播方面相当成功,因为有来自许多不同国家(西班牙,荷兰,波兰等)的注册电话。

1486354679219142.png

此外,对诸如IP地址,唯一路径等术语的迭代搜索已经出现,其他应用可以使用与上面所示相同的支持,包括以下IP地址和域名:

http://vps237553.ovh.net/nexmo/getcode.php?code=
http://vps237553.ovh.net/polonia/autodirect1.php
http://vps237553.ovh.net/polonia/autodirect2.php
http://vps237553.ovh.net/polonia/guardar_instalacion.php
http://vps237553.ovh.net/polonia/guardar_numero.php
http://vps237553.ovh.net/polonia/guardar_numero.php?androidID=
http://vps237553.ovh.net/polonia/guardar_sms.php
http://vps237553.ovh.net/polonia/push_recibido.php
http://vps237553.ovh.net/polonia/panel.php
http://vps237553.ovh.net/nexmo/

特别是,在过去几个月中,45.32.236.127被不同的域名所使用:

kongwholesaler.tk(2016-05-22)
acc-facebook.com(2016-04-11)
h-instagram.com(2016-04-11)
msg-vk.com(2016-04-11)
msg-google.ru(2016-04-10)
msg-mail.ru(2016-04-10)
iwantbitcoins.xyz(2015-11-04)

这些域名可能已被用于欺诈攻击,如网络钓鱼攻击,因为它们与知名和合法的服务非常相似。您可以想象,犯罪组织是如何遵循以上的技术将一个新应用程式上传到Google Play中的。

expensive_en_12-300x234.png

e49faf379b827ee8d3a777e69f3f9bd3e559ba03
11a131c23e6427dd7e0e47280dd8f421febdc4f7
源链接

Hacking more

...