本文作者：雷鋒網(wǎng)網(wǎng)絡安全專欄作者，李勤

我們只知道，卡巴斯基愛點名朝鮮黑客，比如，上次那波聞名全球的勒索病毒，它就站出來說：

幕后真兇或來自朝鮮！

吃瓜群眾一看到朝鮮黑客被點名，就開始編織出無數(shù)版本的猜測和故事，誰關注那個“或”字。

“或”就是可能有，可能沒有。

這種“莫須有”毫無實證的“鍋”當年可是害死過一位著名歷史人物的。

不過，對一些人而言，只要不是點名中國，說誰都行。

可是，6月8日卡巴斯基發(fā)布了一份報告，報告名為《Dvmap: the first Android malware with code injection》（《Dvmap：第一種具備代碼注入能力的安卓惡意軟件》）該報告指出，卡巴斯基分析了一種對Android系統(tǒng)平臺運行庫進行惡意代碼注入的惡意軟件樣本，然后在報告中提及該惡意軟件所包含的“.root_sh”腳本文件中存在中文注釋。

隱隱約約就是在說：腳本文件居然有中文注釋，哎呀，是誰做的呢？

人在家中坐，鍋從天上來。

也許是注意到這一點，中國安全研究員火速開展了深度分析。

雷鋒網(wǎng)宅客頻道（微信ID：letshome）編輯發(fā)現(xiàn)，微信公眾號“安天移動安全”6月9日發(fā)了一份《關于“Dvmap”安卓惡意軟件分析報告》，對此樣本進行了進一步分析。

撲朔迷離：“罪犯”隱匿真實時間

首先，我們來看看，這個安卓惡意軟件到底能干什么。

這個 com.colourblock.flood.apk偽裝成名為“colourblock”的解密游戲，在 Google Play 進行發(fā)布下載。

既然是人畜無害，那么肯定不會讓你“明眼”看出來它其實是個小惡魔。

但是，這個惡意軟件會根據(jù)植入終端系統(tǒng)版本、cpu類型等信息，解密其內嵌的惡意文件“Game*.res"。呵呵噠，還能根據(jù)手機自適應呢！

最終，由這個惡意文件解析后釋放的文件開始“張牙舞爪”試圖偽裝為高通的時間服務程序，其主要作用為與遠控服務器通信并執(zhí)行遠控任務。

也就是遠程操控你的手機！

然后你要問了：當我大谷歌是吃干飯的么？為什么沒有檢測出來？

因為這款惡意軟件特別狡猾，在攻防戰(zhàn)斗中應該是根老油條了。

這個惡意軟件 colourblock 在3月下旬起，就采用了在同一天內交替上傳該軟件的惡意版本與無害版本得方法，借以繞過了 Google Play 對其進行安全性檢查的方式，而且一直利用 Google Play 市場進行分發(fā)。還借由此種方法多次上傳其惡意版本及對其惡意載荷的加密處理，自3月下旬起至被卡巴斯基公司舉報下架為止，該惡意軟件已被累積下載超過 50000 次。

安全人員還分析發(fā)現(xiàn)，這個惡意代碼的開發(fā)者有一定反偵察自我保護能力，對惡意樣本實施了部分保護措施，如隱匿 apk 生成時間， 在生成 apk 時修改系統(tǒng)本地時間，導致解包 apk 文件獲取到的生成時間為 1979 年。

這就如同罪犯在警察破案中隱匿真實作案時間。

不過，守方老司機也不是吃素的，他們通過一些方法，挖掘出了該惡意軟件的真實制作時間為 2017年4月18 日，進而為后續(xù)的“破案”提供了必要的真實數(shù)據(jù)依據(jù)。

卡巴斯基認為有中國元素，然而真相是……

先暫停一下破案，卡巴斯基為什么認為和中國有關？

原來，在惡意樣本的多個bin文件里均出現(xiàn)“kinguser.apk”信息，可以推測該惡意樣本使用了中國開發(fā)者所開發(fā)的 kingroot 工具的 exp 程序用于提權。

但是，守方老司機在發(fā)現(xiàn)真實制作時間后，謎團陸續(xù)被解開。

證據(jù)一

安全人員發(fā)現(xiàn)，該惡意軟件從初次上傳到Google Play起截至今日，在被成功植入惡意樣本的 965 臺終端中，分布于印度尼西亞與印度的數(shù)量分別為 220 臺與 128 臺，占比分別為 22.79 %與 13.26 %，排第三的為加拿大，其被植入惡意樣本的終端數(shù)量僅為 48 臺，印度尼西亞區(qū)域內被植入惡意樣本的終端數(shù)量在統(tǒng)計范圍中占明顯優(yōu)勢。

證據(jù)二

惡意樣本載荷的樣本數(shù)據(jù)初次采集時間為 4 月19日，植入終端所在位置為德國，但經深度分析后發(fā)現(xiàn)該樣本運行環(huán)境為Remix OS For PC安卓模擬器，且其實際連入互聯(lián)網(wǎng)方式為使用安全公司Avira的德國VPN服務器，因此具備較大的病毒測試設備嫌疑。由此可見，載荷植入終端早期數(shù)據(jù)中的第一臺終端所在位置，有較大幾率處于印度尼西亞。

證據(jù)三

有一個證據(jù)還不夠，安全領域的老“警察”又發(fā)現(xiàn)：

根據(jù)對惡意樣本 colourblock 的 Google Play 市場緩存及全球其他分發(fā)來源的頁面留存信息，得到 Retgumhoap Kanumep為該惡意樣本聲明的作者姓名，但通過全網(wǎng)搜索與大數(shù)據(jù)碰撞比對，并不存在以該姓名發(fā)布的其他軟件與該姓名相關的任何網(wǎng)絡信息。

通過對該姓名Retgumhoap Kanumep的解讀分析，發(fā)現(xiàn)將其姓“Kanumep”各字母從右至左逆序排列則為Pemunak，即印度尼西亞語“軟件”之意。

證據(jù)四

對其名字“Retgumhoap”進行分詞為“Retg-umhoap”，由于“retg-”前綴為“return（返回）”之意，故嘗試將“umhoap”字母排列逆時針轉動180度，得到了單詞“deoywn”。對單詞“deoywn”進行全網(wǎng)搜索可知，曾有機器人程序使用郵箱 bkueunclpa@deoywn.com在大量互聯(lián)網(wǎng)站留言板頁面自動發(fā)布留言：

【圖片來源：安天移動安全】

對該郵箱ID “bkueunclpa”進行語言識別，得知其為印度尼西亞方言。

證據(jù)五

還有一個證據(jù)是，該惡意樣本載荷向位于亞馬遜云的頁面接口回傳數(shù)據(jù)，該頁面域名中包含“d3pritf0m3bku5”字樣，經分析，即“de pritfomebkus”，用 Google 翻譯識別其語種，仍為印度尼西亞方言。

至此，似乎真相大白！

據(jù)安全人員的判斷：

初步認為在卡巴斯基原分析報告中專門提及的中文代碼注釋問題，應只是該惡意軟件編寫者直接使用了中國開發(fā)者編寫的Kingroot腳本，而非直接與中國惡意軟件開發(fā)者產生明顯聯(lián)系。

而通過惡意樣本及開發(fā)者信息的語言特征判斷，該惡意軟件有較大幾率與印度尼西亞開發(fā)者存在直接關系；另外，由于該惡意軟件并沒有在任何社交網(wǎng)站進行推廣的網(wǎng)絡記錄，僅通過應用市場分發(fā)，因此其早期推廣與分發(fā)行為，較大幾率由惡意軟件開發(fā)者就近在自身網(wǎng)絡社交范圍內通過其他手段進行，結合該惡意軟件在早期植入的移動終端地域分布情況和整體總量植入移動終端地域分布情況，可以認為印度尼西亞有較大可能是該惡意軟件的開發(fā)者所在地和主要受害者集中地域。

感覺活脫脫在網(wǎng)絡安全界上演了一次老刑警與狡猾罪犯斗智斗勇的大戲，看了安全人員的分析，好想獻上膝蓋。

注：如果你想看更詳細的技術分析，可以自行搜索安天移動安全的《關于“Dvmap”安卓惡意軟件分析報告》，本文相關數(shù)據(jù)及分析結論均參考于此。

本文作者：雷鋒網(wǎng)網(wǎng)絡安全專欄作者，李勤，重要的事情說三遍，雷鋒網(wǎng)、雷鋒網(wǎng)、雷鋒網(wǎng)。

雷峰網(wǎng)版權文章，未經授權禁止轉載。詳情見轉載須知。