超強惡意軟體大鬧 Google Play，卡巴斯基認為和中國有關，然而真相是……

本文作者：雷鋒網網路安全專欄作者，李勤

我們只知道，卡巴斯基愛點名朝鮮黑客，比如，上次那波聞名全球的勒索病毒，它就站出來說：

幕後真兇或來自朝鮮！

吃瓜群眾一看到朝鮮黑客被點名，就開始編織出無數版本的猜測和故事，誰關注那個「或」字。

「或」就是可能有，可能沒有。

這種「莫須有」毫無實證的「鍋」當年可是害死過一位著名歷史人物的。

不過，對一些人而言，只要不是點名中國，說誰都行。

可是，6月8日卡巴斯基發布了一份報告，報告名為《Dvmap: the first Android malware with code injection》（《Dvmap：第一種具備代碼注入能力的安卓惡意軟體》）該報告指出，卡巴斯基分析了一種對Android系統平台運行庫進行惡意代碼注入的惡意軟體樣本，然後在報告中提及該惡意軟體所包含的「.root_sh」腳本文件中存在中文注釋。

隱隱約約就是在說：腳本文件居然有中文注釋，哎呀，是誰做的呢？

人在家中坐，鍋從天上來。

也許是注意到這一點，中國安全研究員火速開展了深度分析。

首先，我們來看看，這個安卓惡意軟體到底能幹什麼。

既然是人畜無害，那麼肯定不會讓你「明眼」看出來它其實是個小惡魔。

但是，這個惡意軟體會根據植入終端系統版本、cpu類型等信息，解密其內嵌的惡意文件「Game*.res"。呵呵噠，還能根據手機自適應呢！

最終，由這個惡意文件解析後釋放的文件開始「張牙舞爪」試圖偽裝為高通的時間服務程序，其主要作用為與遠控伺服器通信並執行遠控任務。

也就是遠程操控你的手機！

然後你要問了：當我大谷歌是吃乾飯的么？為什麼沒有檢測出來？

因為這款惡意軟體特別狡猾，在攻防戰鬥中應該是根老油條了。

這個惡意軟體 colourblock 在3月下旬起，就採用了在同一天內交替上傳該軟體的惡意版本與無害版本得方法，藉以繞過了 Google Play 對其進行安全性檢查的方式，而且一直利用 Google Play 市場進行分發。還藉由此種方法多次上傳其惡意版本及對其惡意載荷的加密處理，自3月下旬起至被卡巴斯基公司舉報下架為止，該惡意軟體已被累積下載超過 50000 次。

安全人員還分析發現，這個惡意代碼的開發者有一定反偵察自我保護能力，對惡意樣本實施了部分保護措施，如隱匿 apk 生成時間，在生成 apk 時修改系統本地時間，導致解包 apk 文件獲取到的生成時間為 1979 年。

這就如同罪犯在警察破案中隱匿真實作案時間。

不過，守方老司機也不是吃素的，他們通過一些方法，挖掘出了該惡意軟體的真實製作時間為 2017年4月18 日，進而為後續的「破案」提供了必要的真實數據依據。

先暫停一下破案，卡巴斯基為什麼認為和中國有關？

原來，在惡意樣本的多個bin文件里均出現「kinguser.apk」信息，可以推測該惡意樣本使用了中國開發者所開發的 kingroot 工具的 exp 程序用於提權。

但是，守方老司機在發現真實製作時間後，謎團陸續被解開。

安全人員發現，該惡意軟體從初次上傳到Google Play起截至今日，在被成功植入惡意樣本的 965 台終端中，分布於印度尼西亞與印度的數量分別為 220 台與 128 台，佔比分別為 22.79 %與 13.26 %，排第三的為加拿大，其被植入惡意樣本的終端數量僅為 48 台，印度尼西亞區域內被植入惡意樣本的終端數量在統計範圍中占明顯優勢。

惡意樣本載荷的樣本數據初次採集時間為 4 月19日，植入終端所在位置為德國，但經深度分析後發現該樣本運行環境為Remix OS For PC安卓模擬器，且其實際連入互聯網方式為使用安全公司Avira的德國VPN伺服器，因此具備較大的病毒測試設備嫌疑。由此可見，載荷植入終端早期數據中的第一台終端所在位置，有較大幾率處於印度尼西亞。

有一個證據還不夠，安全領域的老「警察」又發現：

根據對惡意樣本 colourblock 的 Google Play 市場緩存及全球其他分發來源的頁面留存信息，得到 Retgumhoap Kanumep為該惡意樣本聲明的作者姓名，但通過全網搜索與大數據碰撞比對，並不存在以該姓名發布的其他軟體與該姓名相關的任何網路信息。

通過對該姓名Retgumhoap Kanumep的解讀分析，發現將其姓「Kanumep」各字母從右至左逆序排列則為Pemunak，即印度尼西亞語「軟體」之意。

【圖片來源：安天移動安全】

對該郵箱ID 「bkueunclpa」進行語言識別，得知其為印度尼西亞方言。

還有一個證據是，該惡意樣本載荷向位於亞馬遜雲的頁面介面回傳數據，該頁面域名中包含「d3pritf0m3bku5」字樣，經分析，即「de pritfomebkus」，用 Google 翻譯識別其語種，仍為印度尼西亞方言。

至此，似乎真相大白！

據安全人員的判斷：

初步認為在卡巴斯基原分析報告中專門提及的中文代碼注釋問題，應只是該惡意軟體編寫者直接使用了中國開發者編寫的Kingroot腳本，而非直接與中國惡意軟體開發者產生明顯聯繫。

而通過惡意樣本及開發者信息的語言特徵判斷，該惡意軟體有較大幾率與印度尼西亞開發者存在直接關係；另外，由於該惡意軟體並沒有在任何社交網站進行推廣的網路記錄，僅通過應用市場分發，因此其早期推廣與分發行為，較大幾率由惡意軟體開發者就近在自身網路社交範圍內通過其他手段進行，結合該惡意軟體在早期植入的移動終端地域分布情況和整體總量植入移動終端地域分布情況，可以認為印度尼西亞有較大可能是該惡意軟體的開發者所在地和主要受害者集中地域。

感覺活脫脫在網路安全界上演了一次老刑警與狡猾罪犯鬥智斗勇的大戲，看了安全人員的分析，好想獻上膝蓋。

註：如果你想看更詳細的技術分析，可以自行搜索安天移動安全的《關於「Dvmap」安卓惡意軟體分析報告》，本文相關數據及分析結論均參考於此。

本文作者：雷鋒網網路安全專欄作者，李勤，重要的事情說三遍，雷鋒網(公眾號：雷鋒網)、雷鋒網、雷鋒網。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！