還記得2008年那個可怕的"熊貓"嗎？作者李俊幾乎是以一己之力喚醒了人們的安全意識。"熊貓燒香"為李俊贏得了天才的名譽，同時也讓他鋃鐺入獄。處獄以后，李俊似乎銷聲匿跡了，可是就是這樣一個天才，卻再次走上了違法的道路，二次進宮，而讓他犯法的就是我們今天要說的"小電影"行業(yè)。暫時不討論李俊的熊貓燒香病毒，后續(xù)會專門分析。本篇文章不涉及輿論道德、身體健康、法律法律等因素。

概述

面對一些美女快播、美女視頻、宅男電影等應(yīng)用程序，你是否想安裝？但可得小心點，這些應(yīng)用程序不僅涉嫌傳播淫穢色情內(nèi)容，很多程序還被內(nèi)置惡意代碼，通過惡意推廣以及誘騙用戶支付，導致用戶資費損失。此類APP大多來源于管理不規(guī)范的應(yīng)用市場、論壇社區(qū)、軟件站、網(wǎng)盤等。

病毒運行整體流程

之前大多色情病毒主要是通過廣告推廣，后臺私自向SP號碼發(fā)送短信訂購業(yè)務(wù)獲利，目前已經(jīng)演變?yōu)檎T騙用戶，通過第三方支付插件支付，從而實現(xiàn)直接獲利。軟件的演變及流程圖如2-1所示：

現(xiàn)狀分析

病毒感染量統(tǒng)計分析

根據(jù)平臺的分析，2014年12月份爆發(fā)了大量惡意色情應(yīng)用，該類病毒的主要行為是直接或者誘導用戶進行點擊之后，后臺向SP號碼發(fā)送短信進行惡意扣費，同時會植入大量廣告應(yīng)用，后臺私自下載推廣軟件及其他色情軟件、創(chuàng)建大量快捷方式誘騙用戶安裝運行，會造成用戶大量的流量消耗。 下圖為2016年平臺每月色情類病毒的發(fā)現(xiàn)量如圖 3-1 所示：

病毒技術(shù)原理分析

推廣技術(shù)

色情軟件一般都會內(nèi)嵌一些廣告插件，一旦投放到市場中，依靠其淫穢色情內(nèi)容吸引點擊量，就可以通過廣告來賺錢，具體實現(xiàn)一般包含后臺下載，或者通過創(chuàng)建桌面快捷方式和匿名彈窗推廣。 以平臺的“激情片庫”為例，病毒運行后，誘導用戶安裝插件。如圖4-1、4-2 所示：

釋放并加載惡意插件代碼：

私自下載

該類病毒主要通過后臺獲取要推廣的產(chǎn)品APP下載地址，之后私自進行下載進行推廣，消耗用戶手機流量。如圖 4-3 所示：

創(chuàng)建快捷方式

病毒后臺下載推廣軟件，并且會私自下載其他色情視頻病毒，下載之后會在用戶手機桌面上創(chuàng)建大量快捷方式，誘導用戶點擊安裝。如圖 4-4、4-5、4-6 所示：

匿名彈窗推廣

病毒會聯(lián)網(wǎng)下載要推廣軟的圖片，不停的匿名彈窗，用戶點擊即彈出安裝界面，誘導用戶安裝運行。如圖 4-7、4-8 所示：

支付流程演變

傳統(tǒng)扣費方式

這些批量生產(chǎn)的色情APP，都會內(nèi)嵌一些廣告插件，還會私自發(fā)送短信，惡意扣費；還有病毒會在私自發(fā)送短信的同時，攔截指定短信，從而導致用戶手機支付驗證短信被竊。

典型的銀色魅影木馬支付就是通過向SP號碼發(fā)送短信扣費。病毒運行后，私自聯(lián)網(wǎng)獲取SP號碼以及發(fā)送內(nèi)容，并向獲取的SP號碼發(fā)送短信。如圖 4-9、4-10 所示：

每次都是小額扣費，但是會發(fā)送多次此類扣費短信

病毒同時會對關(guān)鍵字短信進行攔截，導致用戶無法發(fā)現(xiàn)扣費情況。例如銀色魅影木馬就會屏蔽以”10086″”1065″”1066″”118010″”10001888″開頭，或內(nèi)容包含”成功訂購”"和視頻”"和視界”的短信。如圖 4-11所示：

傳統(tǒng)的扣費方式中，其中SP服務(wù)商是關(guān)鍵，一般制作人員不具備申請SP業(yè)務(wù)的資格，所以制作人員只能拿到不多的廣告費或者盈利分成。

當前流程扣費方式

隨著移動支付業(yè)務(wù)的興起，色情軟件也隨之搭上了移動支付的便車。微信支付、支付寶支付等第三方支付開始成為色情軟件支付的主流；同時病毒制作者就可以申請第三方支付插件使用，從而支付之后可以直接受益，因此該類病毒開始更加注重使用第三方支付插件。 以我們手里的“色色看片”為例，病毒運行后彈出相關(guān)頁面，點擊任意視頻后直接展現(xiàn)試看內(nèi)容，試看視頻播放完成之后，會彈出窗口，要求用戶支付。如圖 4-12、4-13、4-14 所示：

支付方式集成了微信、支付寶等現(xiàn)有的主流支付插件，當用戶點擊支付寶支付或者微信支付時，病毒會發(fā)起各自的支付接口進行支付操作。

使用微信支付插件支付代碼如下圖：

使用支付寶點擊確認付款會彈出支付寶的支付界面

用戶付款后一筆交易隨即結(jié)束，查看此病毒的代碼結(jié)構(gòu)可以發(fā)現(xiàn)，此病毒集成了四種支付插件，支付寶，微信，威富通，中興付，而此類支付插件一般以微信支付和支付寶支付為主，暫未發(fā)現(xiàn)銀聯(lián)支付或者短信支付的情況，未來不排除可能。如圖 4-15所示：

此類方式相比SP服務(wù)扣費簡單高效，可以進行大額支付，而且少了中間SP服務(wù)商的環(huán)節(jié)，增加了病毒制作者或傳播者的盈利能力。

黑色產(chǎn)業(yè)鏈分析

歷史演變

從最初的SP業(yè)務(wù)扣費到現(xiàn)在微信支付寶等網(wǎng)絡(luò)付費，病毒的支付方式在不斷前進。

誘騙手法

色情軟件一般使用惹火的圖標和曖昧的名稱誘騙用戶下載安裝，下圖為排名前十的色情軟件安裝名稱占比。如圖 5-1所示：

獲利方式

如圖 5-2所示：

APP 一般都會內(nèi)嵌廣告插件，上傳到網(wǎng)絡(luò)之后，依靠其淫穢色情內(nèi)容吸引點擊量，就可以通過廣告來賺錢；同時該類病毒會私自向SP號碼發(fā)送短信進行惡意扣 或者通過誘導的方式，誘導用戶使用微信、支付寶等方式進行扣費來直接獲利。

溯源分析

下載地址溯源

對該類軟件的下載地址進行統(tǒng)計，其中top12的下載地址出現(xiàn)頻次很高。 如圖 6-1、6-2所示：

對這些域名信息查詢發(fā)現(xiàn)有非常多的第三方注冊商的注冊域名和注冊郵箱，過濾有效的信息，得出的主要域名注冊人與郵箱的對應(yīng)關(guān)系如下圖6-3所示：

惡意推廣溯源

在上面的”激情片庫”中，病毒安裝之后會從服務(wù)器獲取推廣軟件的下載地址，創(chuàng)建快捷方式，經(jīng)過代碼分析，解密發(fā)現(xiàn)推廣服務(wù)器地址為139...152:8080。如圖 6-4、6-5、6-6所示：

私自聯(lián)網(wǎng)獲取惡意推廣的下載地址等信息：

查詢IP地址發(fā)現(xiàn)其租用的是*服務(wù)器

支付溯源

根據(jù)微信支付接口和支付寶支付接口的介紹，個人申請支付接口只需要進行實名認證填寫相關(guān)資料同時上傳APP注冊成功即可。

以微信為例。如圖 6-7所示：

注冊開發(fā)者賬號的時候需要進行實名認證，填寫手機號以及身份證號，成功注冊賬號后進行開發(fā)者資質(zhì)認證；第二步注冊APP，填寫app相關(guān)信息，等待審核。如圖 6-8所示:

申請成功后，微信會發(fā)送給申請者一個綁定應(yīng)用的APPID。如圖 6-17所示:

一般以”wx”開頭，在上面“色色看片”病毒中我們找到了它的APPID。如圖 6-18所示:

根據(jù)此APPID就可以定位到指定商戶，這樣就鎖定了此病毒的收費人員

小結(jié)

根據(jù)病毒相關(guān)信息我們追溯到金米網(wǎng)，金米網(wǎng)是一個域名注冊商，其中惡意域名占23.86%，由此可見當前對域名注冊商對旗下域名管理不規(guī)范，應(yīng)當強制實行域名注冊實名制，從而可以對惡意域名實施監(jiān)控和追蹤，未來病毒變種不斷增多，相關(guān)溯源結(jié)果也會越來越準確；同時對于色情類誘騙支付病毒，目前使用第三方支付插件進行支付，通過分析其申請流程可以發(fā)現(xiàn)，開發(fā)這需要上傳APK，獲取插件中的必要字段之后，才能正常使用插件支付，因此第三方支付插件應(yīng)該對開發(fā)者上傳的APK進行嚴格審核。

防范及處置建議

安全從自身做起，建議用戶在下載軟件時，到針對的應(yīng)用商店進行下載正版軟件，避免從論壇等下載軟件，可以有效的減少該類病毒的侵害；

安全需要做到防患于未然，可以使用APP威脅檢測與態(tài)勢分析平臺進行分析對Android樣本提取信息并進行關(guān)聯(lián)分析和檢測；

對于收費轉(zhuǎn)賬的QQ號碼或者微信號碼記性追蹤治理，從收益環(huán)節(jié)阻斷該類軟件對用戶侵害。

寫在最后

app要從正規(guī)的應(yīng)用商店下載，app要從正規(guī)的應(yīng)用商店下載，app要從正規(guī)的應(yīng)用商店下載。重要的事情說3遍。更多關(guān)于Android逆向、安全相關(guān)內(nèi)容，歡迎關(guān)注我的公眾號：