如何拿下Gooligan（二）：深度分析內部工作原理

在如何拿下Gooligan（一）：對Gooligan起源和工作原理的初步分析中描述了Gooligan的起源和工作原理概覽，本文將對其內部工作原理進行深度分析，而第三部分將講述不同的幣值化策略和拿下Gooligan的過程。

感染

最初，攻擊者會欺騙用戶去安裝Gooligan分階段的app，一旦app安裝並執行，攻擊者就可以執行下圖中的5個步驟來入侵該設備。

從上圖可以看出，前4個階段大多來源於Ghost Push。Gooligan的開發者主要變化是用複雜的注入過程將app上架到應用商店中。最初，大量的代碼重用讓研究者很難區分Ghost Push樣本和Gooligan樣本。研究人員在發現了全部的擊殺鏈之後，就可以寫下精確的檢測簽名了。

Payload解碼

大多數的Gooligan樣本將惡意代碼隱藏在一張假照片assets/close.png中。圖片是用硬編碼函數（異或加密）加密的。加密是用來避免被檢測到簽名，因為Gooligan中的部分代碼來源於其他惡意軟體。加密惡意payload也是一種比較古老的惡意軟體技術，從2011年開始就被安卓惡意軟體使用了。

除了加密函數意外，Gooligan另外一個比較奇怪的是完整性驗證演算法。一般來說，close.png文件的完整性驗證是為了確保前10個位元組和最後10個位元組是一致的。如上圖所示，該方案中前5個位元組（val 1）是與最後5個位元組對比的，而6到10位元組（val 2）是與前5個位元組比較的。

手機root

與Snappea和Ghostpush類似，Gooligan也使用Kingroot利用套件來獲取root許可權。Kingroot一共有三個步驟，首先，惡意軟體手機設備相關信息發送給利用伺服器；第二步，伺服器查詢利用資料庫並建立專為該設備打造的payload；第三步，設備接收payload，惡意軟體運行payload獲取root許可權。

駐留設置

獲取設備root許可權後，Gooligan會修復install-recovery.sh腳本，而且在工廠模式重置後仍然駐留。從修復的角度講，這種恢復能力機制是Gooligan最讓人頭痛的，因為老一點的設備只能通過OTA更新或設備刷寫來移除。而且安卓4.4以下的設備是沒有驗證啟動（verfied boot）的。

面對這種複雜的環境，以及用戶的迫切需求，研究人員使用一種很少使用的策略：協調性拿下。拿下的目標是使Gooligan基礎設施的一些關鍵元素停止服務，來確保惡意軟體不能工作或更新。

應用商店中的應用操作

感染的最後一步是將共享庫注入到應用商店應用中。共享庫函數允許Gooligan操作應用商店的應用下載app和注入視圖。

研究人員追蹤了注入代碼，該庫本身是暴露的，開發者只增加了調用應用商店函數所必須的代碼。所有的欺騙邏輯都在主app中，一個可能的原因是開發者更熟悉Java語言。

受影響的設備

根據位置的傳播

受感染的設備主要位於印度、拉丁美洲、亞洲。其中19%的感染源來自印度，受感染最多的8個國家的感染數量超過了感染總數的50%。

根據手機製造商的分布

感染的大多都是大品牌，三星、Mircomax是受感染最多的品牌，其中Micromax是印度的手機製造商，但是在美國和歐洲市場沒有出現過，主要市場在印度和俄羅斯。

屬性

最初的線索

Gooligan HAproxy配置信息

研究人員對Gooligan patient zero代碼進行了深入分析，發現一個不尋常的文本字元串oversea_adjust_read_redis。通過該字元串，研究人員發現了中國的一篇討論載入平衡器配置的博客，通過該博客找到了Gooligan後端服務的全部配置。

#Ads API

acl is_ads path_beg /overseaads/

use_backend overseaads if is_ads

…

#Payment API

acl is_paystatis path_beg /overseapay/admin/

use_backend overseapaystatis if is_paystatis

...

# Play install

acl is_appstore path_beg /appstore/

use_backend overseapaystatis if is_appstore

...

通過分析暴露的HAproxy配置信息，就可以找出基礎設施的位置以及後台服務的結構。通過配置片段，發現後台有點擊欺騙的API、從客戶端接收支付的API、以及應用商店濫用的API。還有一個負責的管理和數據相關的API，是不可見的。

基礎設施

通過HAproxy配置中暴露的API和IP，加上對Gooligan二進位文件的了解，就可以重建Gooligan的基礎設施圖。整體來看，Gooligan被分割為2個數據中心，一個位於中國，一個位於美國，使用的是AWS的IP地址。在被拿下後，所有的基礎設施都搬遷到了中國。

幕後黑手

Gooligan的幕後黑手是誰呢？基於對基礎設施和其他數據的分析，研究人員認為這是一個來自中國大陸的運營團隊。公開信息顯示，該組織聲稱是一家外貿公司，但是主要運營不同的詐騙方案。

下一篇文章將介紹Gooligan的幣值化方案和拿下Gooligan的過程。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！