黑客大神告訴你，不可刪除的廣告軟件-魔扣目錄

黑客大神告訴你，不可刪除的廣告軟件

概述：廣告是最大、最快、最廣泛的信息傳遞媒介，廣告能激發(fā)和誘導(dǎo)消費(fèi)，廣告的反復(fù)渲染、反復(fù)刺激，也會擴(kuò)大產(chǎn)品的知名度。一個公司要想讓一個產(chǎn)品達(dá)到最好的效益，必須花大量的成本投放大量的廣告，這就促使了以投放廣告來獲取利益的產(chǎn)業(yè)鏈的形成。推廣廣告軟件也應(yīng)運(yùn)而生，雖然一直以來各大安全廠商對軟件的審核非常的嚴(yán)格，但是攻擊者會使用各種手段躲避安全廠商的檢測，從而借助移動軟件平臺大量向外推廣。

我們在日常使用手機(jī)的過程中可能常常會受到智能手機(jī)上未知來源的廣告的侵?jǐn)_。這些未知來源的廣告可能在用戶未購買手機(jī)設(shè)備之前就已嵌入到系統(tǒng)應(yīng)用或系統(tǒng)庫中，用戶根本無法刪除。

廣告軟件通過以下兩種方式嵌入到設(shè)備中將不可刪除：

該惡意軟件獲得了設(shè)備的root用戶訪問權(quán)限，并在系統(tǒng)分區(qū)中安裝了廣告軟件。
用于顯示廣告（或其加載程序）的代碼已經(jīng)預(yù)安裝到用戶設(shè)備的系統(tǒng)應(yīng)用或庫中。

其中有以下系統(tǒng)應(yīng)用中嵌入了廣告軟件：

（一）htmlViewer系統(tǒng)應(yīng)用

HTMLViewer是系統(tǒng)自帶的HTML瀏覽器，進(jìn)入到手機(jī)系統(tǒng)App目錄，可看到HTMLViewer應(yīng)用目錄。

圖1-1系統(tǒng)APP目錄

該系統(tǒng)應(yīng)用程序中包含Sivu木馬。惡意軟件包含兩個模塊：

第一個模塊可以在設(shè)備上使用root權(quán)限執(zhí)行shell命令。
第二個模塊可在其他窗口頂部和通知中顯示廣告。

（1）該應(yīng)用的asset目錄下包含兩個jar文件（實(shí)際為apk文件）分別對應(yīng)著該惡意軟件的兩個功能模塊。

圖1-2 asset目錄下兩個惡意模塊

（2）程序首先根據(jù)判斷條件從服務(wù)器下載jar文件或從asset目錄下獲取jar文件并加載。

圖1-3 獲取jar文件

（3）加載F6.jar文件，該程序具有從服務(wù)器下載廣告并在屏幕應(yīng)用程序頂部顯示廣告的功能。

請求服務(wù)器并下載廣告：

圖1-4 下載廣告

檢測是否可以在屏幕應(yīng)用程序頂部顯示廣告：

圖1-5 檢測是否可在屏幕應(yīng)用程序頂部顯示廣告

圖1-6 顯示廣告

（4）加載g10.jar文件，該程序能夠?qū)τ脩粼O(shè)備進(jìn)行遠(yuǎn)程控制：

靜態(tài)控制用戶設(shè)備，它的功能包括安裝，卸載和運(yùn)行應(yīng)用程序。根據(jù)入侵者的目標(biāo)，可用于秘密安裝合法或惡意應(yīng)用程序。

圖1-7下載，安裝和運(yùn)行應(yīng)用

根據(jù)設(shè)備是否root情況下，獲取超級用戶權(quán)限執(zhí)行普通cmd命令或更高級的cmd命令。這使應(yīng)用程序能夠通過遠(yuǎn)程執(zhí)行命令控制用戶設(shè)備。

圖1-8 執(zhí)行cmd命令

執(zhí)行cmd命令靜默安裝、卸載應(yīng)用。

圖1-9 靜默安裝、卸載應(yīng)用

（二）系統(tǒng)服務(wù)應(yīng)用程序

在系統(tǒng)服務(wù)應(yīng)用中我們發(fā)現(xiàn)應(yīng)用程序可以下載并靜默安裝應(yīng)用程序，以及在通知中顯示廣告。

（1）屏幕關(guān)閉后靜默安裝應(yīng)用：

圖2-1 靜默安裝應(yīng)用

在獲取到root權(quán)限的情況下可將apk文件復(fù)制到系統(tǒng)目錄，并嘗試安裝。這是用戶無法卸載安裝在系統(tǒng)目錄中的應(yīng)用。

圖2-2 在獲取root權(quán)限情況下復(fù)制apk文件到系統(tǒng)目錄

靜默從服務(wù)器下載廣告：

圖2-3 靜默從服務(wù)器下載廣告

加載顯示廣告：

圖2-4 加載顯示廣告

（三）位于系統(tǒng)目錄本機(jī)庫中的應(yīng)用程序

（1）Necro.d是位于系統(tǒng)目錄中的本機(jī)庫中的木馬程序，它的啟動機(jī)制內(nèi)置在另一個系統(tǒng)庫libAndroid_servers.so中(系統(tǒng)服務(wù)組件)。

圖2-5 啟動木馬

（2）在C＆C的命令下，Necro.d可以下載、安裝、卸載和運(yùn)行應(yīng)用程序。此外，開發(fā)人員還為執(zhí)行任意shell命令留出后門。

圖2-6 執(zhí)行收到的命令

（3）最重要的是，Necro.d可以下載Kingroot超級用戶權(quán)限實(shí)例程序。

圖2-7 下載Kingroot超級用戶權(quán)限實(shí)例程序

除了以上的系統(tǒng)應(yīng)用和庫存在廣告軟件外。壁紙應(yīng)用程序、主題類應(yīng)用程序、Launcher系統(tǒng)應(yīng)用程序（負(fù)責(zé)桌面的應(yīng)用程序）、處理系統(tǒng)圖形界面的應(yīng)用程序、設(shè)置應(yīng)用程序等都或多或少的存在廣告軟件。可用于秘密安裝惡意應(yīng)用程序、以及在通知中顯示廣告或定期在瀏覽器中顯示廣告并打開廣告頁面。

（四）制造商自己預(yù)先安裝的廣告軟件模塊

一些智能手機(jī)包含制造商自己預(yù)先安裝的廣告軟件模塊。供應(yīng)商將其描述為其業(yè)務(wù)模型的一部分，以降低用戶購買設(shè)備成本。

（1）魅族應(yīng)用商店：

在魅族設(shè)備預(yù)安裝的AppStore應(yīng)用程序中發(fā)現(xiàn)了隱藏的廣告軟件，可加載廣告并在不可見的窗口中顯示廣告，用戶可能無法發(fā)現(xiàn)廣告，但這將會導(dǎo)致用戶設(shè)備電池電量的損耗。

圖3-1 加載廣告

該應(yīng)用程序還可以下載并執(zhí)行第三方JAVAScript代碼：

圖3-2 下載執(zhí)行第三方JavaScript代碼

不僅如此它還可以通過監(jiān)聽短信數(shù)據(jù)庫變化，獲取短信內(nèi)容（如短信驗(yàn)證碼）并將其內(nèi)容設(shè)置到加載的頁面的文本框中。這種方法通常用于在用戶不知情的情況下，私自為用戶

注冊訂閱付費(fèi)服務(wù)。

圖3-3 獲取短信并在網(wǎng)頁中設(shè)置

（2）魅族音樂應(yīng)用

在該應(yīng)用的asset文件目錄下發(fā)現(xiàn)了一個廣告處理插件。

圖3-4 asset目錄下廣告插件

圖3-5 廣告插件目錄

且在一個加密軟件中發(fā)現(xiàn)該應(yīng)用下載GinkgoSDK，該SDK是一個廣告SDK，可能會在用戶不知情的情況下下載廣告。

圖3-6 下載GinkgoSDK

總結(jié)：

移動設(shè)備供應(yīng)商、軟件開發(fā)者在預(yù)安裝的軟件或系統(tǒng)軟件中加入廣告軟件模塊目的是為了實(shí)現(xiàn)利潤最大化。如果廣告網(wǎng)絡(luò)商愿意為未知來源的瀏覽量、點(diǎn)擊量和安裝付費(fèi)，那么將廣告模塊嵌入到設(shè)備中以增加每臺設(shè)備的銷售利潤是有意義的。但如果用戶購買帶有這種預(yù)裝廣告的設(shè)備，則通常不可能在不損害系統(tǒng)風(fēng)險的情況下將其刪除，這將給用戶使用設(shè)備帶來不少困擾。

MD5

42c97a5da141b9cfd7696583875bcef5

0065d7177dfd65cebb1e2e788dce0082

fc0824678f582b0bdf65856e90cf0a01

520b50eee2f9dc522a87398f3bd5be94

cf808957da17f6a0b5d266b0e301bf63

04705df0913ccc0a12abddbcb757bac4

5d05e62fb18c6e1128522fe3371d2c91

5a2e5a1f768e4f33bd007f9acd2a9d0d

6c0d83e9e0eeed44ab1a1e5affb68b85

28119119d19fc3d986df63517dee465e

c81d66f5206193ce76b7f4f0b813f705