知道网络上快速致富的手段是什么吗?当然是和色情有关了,不管是出于合法目的还是非法诱导目的,色情内容都能快速吸引人们的注意力。
去年,趋势科技就检测到了Marcher木马的一个新变异的版本,当时黑客是通过电子邮件或发布的色情网站链接,来诱导Android用户下载Marcher的,再将受害者诱导至Google Play官方网站上的X-VIDEO应用(一个色情应用)后,再假冒该应用的Google Play付款页面,要求受害者输入付款信息,从而窃取用户的资料。其实早在这之前,Marcher就通过色情应用攻击了数百万韩国用户。
不过最近,趋势科技发现了Marcher木马利用色情应用的新一波攻击。安全专家们在iOS和Android平台上同时发现了大量使用中文用户界面的色情应用程序,有些甚至可以App Store上找到。目前已经有大量的潜在有害应用程序 (Potentially Unwanted Apps,PUA)正在通过色情网站、热门论坛及色情网站来进行传播。
安装潜在有害应用程序 (PUA)很可能会危及用户的隐私和本地系统的安全性,需要说明的是,这些PUA都是合法的应用程序,不过通常会在用户安装这些程序时被恶意软件或广告软件所盯上,试图利用社交工程来使用户安装额外的产品和服务。
PUA类的应用程序具有一个或多个违规行为或属性。如果用户在进行软件的安全检测时发现有安全风险提示,可不一定意味着它就是恶意软件。但是,如果这类应用是在用户不知情的情况下安装到用户的系统中,则用户的隐私或系统的安全性可能会遭到泄露或破坏,甚至可以拦截用户所接受的短信。所以在这里我们建议大家还是开启应用程序的安全检测功能。
趋势科技已经确定,这些色情应用目前正在快速地传播,并且还根据所传播的区域进行不同的伪装。除了色情应用本身的吸引力之外,调查还发现,程序分销商也在其中起到了推波助澜的作用, 到目前为止,趋势科技已经确定了两个合法的分销商正在分发数千个这些色情应用程序。有的分销商只是借着色情的幌子来诱骗用户下载他们所推广的应用程序,总之由于色情应用可以激发用户大量下载程序,所以分销商为了从推广中获利,也会打擦边球。
攻击用户的三个阶段
这些色情应用程序的攻击通常分三步进行:
首先,利用色情网络连接吸引用户;
其次,伪装成合法应用,诱导用户进行程序下载;
最后,当用户输入隐私信息后,对这些信息进行盗窃
利用这种办法可以很轻松地允许将一些恶意程序安装到用户的应用中,所以为了达到目的,有的分销商就会从用户的设备中先收集用户信息,然后推送用户喜欢的信息链接,当用户被引导到不同的URL,则会诱导他们下载各种程序。
目前,趋势科技已经确定了几个色情网站,它们就利用这些http重定向请求来分发不同类型的色情应用。可以肯定,这种分发方法非常的成功,目前这些应用程序已经广泛出现在亚洲的不同国家,而且主要是中文区域,因为这些程序的用户界面语言都是中文的,一下就是色情应用的使用分布图:
含有下载链接的色情网站
ygyl[.]bysun[.]cc
jinm09a[.]eeeeioslyee4[.]pw
woaikanpianyongjiumianfei[.]cc
238-114[.]ffjj-2[.]com
wdfw[.]ksmsmk[.]com
aaaaajbrg[.]cn
mo[.]39lo[.]com
e[.]919cp[.]com
waszyy[.]com
xmxli[.]cesicc[.]org[.]cn
色情应用分析
从收集到的信息中,安全专家注意到,色情应用可以分为几种不同大类。然后他们将最新收集的色情应用与2016年检测到的数据进行了比较。发现,2017年第一季度的应用数量约为53万,比2016年第一季度高出了约10000个。
每种大类下又有各种应用程序,据统计,平均每个大类下有100个不同的应用程序,每个不同的应用程序大约有10万次传播量。单在iOS平台,专家们就检测到大约52000个色情应用程序。
色情应用的分销商
上文我们简单的提了一下,很多合法的分销商为了从推广应用中获利,会打色情应用的擦边球,然后利用用户的注册信息再进一步获取更多的隐私细节。目前已经查明,快播鸡年版 (QvodPlay Rooster Version)和快播2017HD版 (QvodPlay 2017 HD Version)中的应用程序由同一家分销商制作和发行。所有在“春爱影院(SexMovie)”,“幻想影院(DreamMovie)”,“绝密影院(BannedMovie)”大类下的应用程序也是由同一分销商传播的。另外,专家们还确认几个色情应用的附属站点是由同一个用户注册的。
此外,从付款信息中,专家们也发现这几千个色情应用程序竟然只被两个人购买了。而这两个收款人都是独立的实体,他们之间并无任何联系。
iOS平台的色情应用分发
要将色情应用程序放入到App Store,就必须要求该应用的开发者具备合法的D-U-N-S号码,简单说,D-U-N-S 是一个9位的企业标识符,一般大企业才有,在注册D-U-N-S时,开发者必须提供有关其组织的详细信息,包括营业执照和其他要求以验证组织身份的信息。从这一点来讲,只有合法的开发者才能将自己的产品放入App Store。
虽然看起来似乎非法组织难以在App Store里动手脚,但黑客却想到了一些办法来达到自己的目的:
1. 获得合法公司的D-U-N-S号码
2. 通过网络钓鱼或地下市场获取企业证书所需的注册信息
在iOS上的色情应用的开发信息标注的都是几家知名公司的授权信息,但通过实际调查专家们并没有发现这些企业开发过这些色情应用程序。所以,可以推测出,分销商可能会窃取企业信息,并冒充这些公司获得合法的证书来分发他们的应用程序。例如,同一个大类下的一些色情应用认证信息都是由同一公司的证书签署的。
对于苹果公司来说,通过盗窃企业证书来分发恶意软件并不是什么新鲜的事情了。其实趋势科技早在去年年底就写了一篇关于“恶意开发者是如何应用App Store来分发他们的广告软件应用程序”,而这些色情应用程序的开发商的方法和这篇文章里提到的方法非常类似。
如何从色情应用中获利
如上所述,这些色情应用的主要目的是为了赚钱。通常,这些应用程序会为用户提供提供一些免费预览的部分,然后要求等用户继续要求观看时,就必须进行会员注册。但是,不要以为注册为会员之后,就能免费观看了,在用户注册完会员后,不断会有弹窗提示用户,必须经过付费后才能观看这些视频。当然有些应用完全是骗钱的,因为即使付了款,还是无法观看。
在野外利用中,发现色情程序的恶意行为
到目前为止,这些色情应用的分发与其他可能在用户安装合法的应用时附带的应用,如广告或色情应用,有些甚至还存在着故意盗窃用户敏感信息的功能。专家们在野外发现的Android色情应用,就可以做到访问移动用户的私人消息、用户位置、联系信息、设备ID和SIM序列号。
与Android不同,在野外发现的iOS色情应用的攻击性则要小的多,它们更侧重于传播的数量。当用户安转这些程序后,这些应用程序将连接到远程服务器并请求用户下载应用程序列表。然后,再将鼓励用户点击进行更多的相关应用程序的安装。
对于通过欺诈手段获取企业证书签署的iOS应用程序,苹果有一个缓解措施。在启动应用程序之前,iOS会提示用户通过“设置”>“常规”>“设备管理”手动来添加信任的企业证书。但是,这样就有可能存在风险,一旦用户受信任的这些企业证书被人盗用了,那所有拿该企业证书进行签名的程序就都成为在默认状态下,受信任的程序了,这时即使有什么危险提示,用户也不会看到。
App Store中iOS色情应用程序的恶意行为
开发和传播色情应用的组织会不断尝试在App Store上进行运行,并努力绕过Apple的审查过程,比如对于这些特定的色情应用程序,其背后的组织可能会利用各种用于伪装应用程序的方法。到目前为止,专家们已经注意到色情应用总共使用了三种特殊的策略,来把自己伪装成合法的应用程序:
1. 利用本地配置,
2. 成为“容器”,
3. 使用位置回避策略。
利用本地配置策略的色情应用,通常会被伪装成浏览器或小游戏。一旦用户下载之后,该下载程序就会添加一个快速浏览或弹出式按钮,将用户重定向到色情网站,并吸引人们安装色情应用。
然后这些色情应用程序会将用户重定向到的色情网址直接存储在位置文件中或隐藏在plist文件中的一段JavaScript代码中,如下图所示。
除了内置色情网站网址的应用程序外,还有许多嵌入色情搜索工具的应用程序,如歌曲类应用程序。
在成为“容器”的策略如下,应用程序首先从远程服务器请求plist配置文件,一旦被用户下载,恶意行为就会开始运行,更改用户的默认值。作为从远程服务器获得内容的“容器”,该内容可能包括色情网站的链接,这样用户就能被引导到有更多链接应用程序的界面,甚至色情搜索工具。
上图显示了由“dmoe[.]cn”管理的应用程序的代码,当该应用启动后,用户就将被重定向到服务器返回的特定站点。在下面这个案例中,用户会链接到一个名为“草榴社区”的色情网站。该网站的登陆页还详细罗列了各种色情资源。此外,该网站自动将用户重定向到App Store以下载另一个色情应用,不过目前该应用程序已被苹果删除。
所提到的最后一个伪装策略涉及利用用户的位置信息,如果用户是在断网状态或在特定国家或地区访问,则该色情应用程序就会将自身伪装成合法的安装。在下图所示的案例中,我们可以看到,在特定区域,色情应用突然显示为“报价和语音应用”。不过,在这些区域以外,该应用程序就将会重新开始传播色情应用。
在此方法下,这些应用程序可以使用识别IP来源的第三方IP服务,或者从用户设备获取移动国家代码(MCC)和移动网络代码(MNC)信息。然后其背后的组织就会利用位置信息来尝试绕过苹果的审查过程,以便通过更严格的应用程序规则来伪装自己。
如上所述,这些应用程序会从远程服务器请求其他色情应用的URL。不过,这些URL会不断地进行更改,下图就显示了这些应用程序是如何继续传播的。
从以上这个三个方法我们可以看出,这些色情应用的开发人员更愿意把时间和资源花费在规避苹果的审查流程上,这样就能分发越来越多的应用程序以获得更大的利润。趋势科技,目前只确定了这三种方法,但以后会不会出现更多的办法就不一定了。
虽然这些色情应用并不是什么恶意程序,所以分销商就可以使用非法的手段获得企业证书并伪装成合法企业的应用。他们还使用位置回避策略,收集用户信息,访问Android设备上的私人通信,以及通过诈骗的色情视频来欺骗用户的钱。
趋势科技的调查显示,目前这几种办法的主要影响区域在亚洲国家,而且传播趋势异常猛烈。不过,目前专家们仅发现了两个分销商在这么干,但是他们管理了一个跨越亚洲甚至欧洲的大规模运营。
目前色情内容仍然是诈骗手段中常用的一种方法,且仍然是攻击移动用户的热门工具。
我们建议用户在从第三方应用商店下载应用程序时一定要谨慎,当你选择从这些程序的站点下载时,你会很容易将自己暴露在各种安全威胁(如这些色情应用)中。