有人说,有阴影的地方一定有光;众所周知,有光的地方也会有阴影。宇宙中的一切都是对立统一的。正如移动互联网的发展给人们带来各种便利一样,它不可避免地会产生某些风险。
最近,AVL移动安全团队拦截了一个恶意程序,该程序使用“AuroraPush”(JPushSDK,消息推送第三方SDK)进行远程控制。恶意程序使用“AuroraPush”消息推送平台作为其远程控制命令通道。它可以通过一种简单的隐藏方式来控制用户的手机组发送,定向SMS或拦截用户接收的SMS,然后通过网络上载受害者的联系人,例如人和短信等个人信息。
1.恶意行为分析
1.1基本信息
根据基本信息,该应用程序伪装成电子凭单。一方面,作为一般用户,它可能被视为程序的插件,因此会被忽略。另一方面,由于它使用诸如JPushSDK之类的第三方模块,因此它所申请的敏感权限很可能被视为第三方SDK应用程序,从而忽略了其安全风险。实际上,这是具有强大的远程控制功能和隐私上传功能的恶意应用程序。
1.2集成JPushSDK实现控制功能
该应用程序使用JPushSDK标准集成方法来在正常操作期间在该程序的AndroidManifest文件中为该SDK申请用户权限,并注册一个自定义接收方来监听推送消息。由于这些权限属于JPush应用程序,因此很可能将JPush误认为是广告,应用程序等的常见推送行为,从而忽略了其安全风险。
使用JPushSDK在恶意程序中应用的必需用户权限
JPushSDK提供了一种通过“自定义消息”推送消息的方法,并允许消息在客户端应用程序中被接受并移交给开发人员进行处理。这导致恶意开发人员在侦听服务器推送的信息后获得推送消息的内容和其他字段,并能够解析出远程命令,从而使用JPushSDK来完成远程命令推送。最后,根据不同的指令执行相应的操作。
恶意应用程序利用了这一点,并使用JPush的“自定义消息”作为其远程控制通道。
在恶意程序中,使用JPushSDK自定义接收器中收到的命令信息
在注册定制接收者之后,恶意应用程序将通过JPushSDK接口接收远程推送的定制消息,并将接收到的定制消息传递给恶意应用程序的定制接收者。之后,在自定义接收器中解析远程推送的自定义消息,以完成相关的远程控制功能。
我们发现恶意程序作者使用JPushSDK的EXTRA_MESSAGE和EXTRA_EXTRA字段来设置他们自己的远程控制消息指令和其他内容,并实现了相应的功能。能够通过JPush服务器云控制推送指令完成一系列的远程控制功能,包括群组发送短信,拦截短信,定向发送短信,上传信息等。远程控制指令与当前恶意程序中相应功能的对应关系如下表所示:
1.3其他恶意行为
恶意应用程序还会调用JPushSDK广播接收器功能模块中的自我实现的网络回传功能。远程命令控制操作完成后,远程命令控制发送的SMS和被拦截的用户SMS将通过网站hxxp上传到远程服务器
上传受害人的遥控器发送和截获的短消息的URL
同时,恶意应用程序还将删除由远程命令控件发送的SMS和被拦截的用户SMS,清理相关的SMS操作数据,并防止用户发现它。
删除遥控器后台发送的相关短信
删除被远程控制拦截的用户短信
除了通过JPushSDK远程控制用户的手机外,恶意程序作者还将在安装并运行该程序后隐藏该图标,并将受害人手机的IMEI信息发送到主手机中的主号码。背景,诱使用户输入身份证信息并收集相关的私人信息。
恶意程序正在运行时间现象
同时,恶意程序将通过以下远程服务器网络上载受害用户的联系人,ID号,手机号和话务员以及其他相关信息。
hxxp://www[。]vivott[。]com:8090/ServletTest/Servlet/AddressBookServlet
hxxp://www[。]vivott[。]com:8090/ServletTest/servlet/ImeiAndNumberServlet
上载用户隐私信息的网络数据包
2.JPush平台分析
2.1JPush背景介绍
从“AuroraPush”官方[1]开始,JPush进行了以下介绍:AuroraPush使开发人员可以向应用程序的用户实时推送通知或消息,并保持与用户的交互,从而有效地提高保留率并增强用户体验。该平台提供了一个统一的推送服务,该服务集成了Android推送和iOS推送。TuniuTravel,LeTVVideo,ThunderWatch,XiaamiMusic,JumeiYoupin,EasternAirlines,KoalaFMRadio,AikaAutomobile等许多知名应用程序都使用新闻推送平台和SDK。
通过“Aurora推送”官方网站,我们了解到这种类型的SDK包括“发送通知”,“自定义消息”和“富媒体”三种推送形式。任何开发人员在注册后都可以获得JPUSH_APPKEY,只需要按照官方要求将JPushSDK嵌入自己开发的应用程序中,即JPushSDK就可以发布和使用。
通过JPush消息推送通道,开发人员可以在JPushWeb平台上发布消息,并通过JPush平台将“自定义消息”功能推送到所有相同的JPUSH_APPKEY(即,开发人员开发和发布)应用程序。
2.2验证推送消息说明
在注册了JPushSDK开发人员并获取了appkey之后,我们使用JPush官方控制台并使用“自定义消息”推送功能将内容作为“sendsms”推送到目标程序,其他字段为“phone=10010”,““phonecontent=cxgprs”消息指令信息,用于实现自定义功能,以发送SMS查询流量以进行验证分析。
通过自定义消息传递设备推送的内容
推送信息的历史信息
安装在测试电话中的验证程序通过服务器接收到JPushSDK推送的自定义消息“sendsms”后,它将在后台自动将文本消息“cxgprs”发送到“10010”以查询流量,而无需推送提示。完成的开发人员定制功能,相关结果信息如下图所示。
2.3验证摘要
根据验证结果,JPushSDK在集成过程中申请了更多用户权限。SDK中的自定义推送功能为开发人员提供了更多的游戏自由,因此恶意开发人员很容易使用它来完成远程控制功能。
恶意开发人员看中了第三方开发工具(例如JPushSDK)的便利功能,以便他们可以轻松,方便地实时控制所有受感染的用户设备。
因此,AVL移动安全团队认为可以采取以下措施:
1.可以简化JPushSDK应用的权限,并切断具有安全风险的权限。
2.为集成的JPushSDK应用程序建立审核机制,使用实名注册机制,并在必要时对集成了SDK的应用程序执行安全检查。
3.通过后台统计数据对开发者推送的内容进行分析和审查,发现可疑内容,以便及时识别和处理相关的应用程序安全性。
3.总结和建议
早在2013年5月,一些媒体就报道了相关新闻事件:一家外国手机反病毒制造商错误地报道了国内第三方推送插件“推送”SDK包含间谍功能[3]。最后,经过分析,尽管它被认为是一个乌龙,但消息推送SDK的便利性无疑给用户留下了一些安全隐患的想象。
2015年11月,安全研究人员发现的WormHole[4](也称为“虫洞”)使我们能够对K的安全性有了新的认识。一旦第三方SDK出现漏洞,使用它的应用程序将面临广泛的安全风险。
上面介绍的与JPushSDK相关的案例清楚地证明了恶意代码作者已将第三方SDK作为攻击目标。这些恶意代码作者将使用第三方SDK的便捷功能和严格的开发人员审查和监督机制来开发各种类型的恶意代码功能,从而危害用户安全。同时,由于第三方SDK通常不是由开发人员自己维护的,因此存在信息和资源之间协同作用的风险。一旦出现安全风险和问题,维修成本和及时性通常可能不确定。
尽管不使用这些第三方SDK,但恶意代码也可以达到其恶意目的。但是,由于引入和使用了一些SDK功能来开发各种类型的恶意代码功能,这种行为无疑大大降低了恶意代码作者的开发成本。
随着对恶意代码的远程控制,越来越多的控制方法被使用。从传统的远程服务器到手机特定的SMS控制,再到其他网络相关媒体的使用,例如第三方SDK云推送功能。
因此,对于提供第三方SDK服务的公司,AVL移动安全团队建议:加强对开发人员使用SDK相关功能的审查和监督,以避免过多使用权限,从而提高SDK本身的安全性,在某种程度上,恶意开发人员会使用它来帮助用户和企业减少损失。
