号称植入了2000万设备的欺诈后门拓展分析

事件概述

近日，奇安信威胁情报中心注意到外国安全厂商humansecurity在外网揭露了一个名为BADBOX的事件，其报告称观察到至少74000 部基于 Android 的手机、平板电脑、和全球联网电视盒有遭遇BADBOX 感染的迹象；而来自趋势科技的说法是该后门据信被植入了2000万数量级别的设备。实际上，humansecurity在其分析报告中已经对该事件进行了比较详细的技术分析，各位如果有兴趣可以自行查看。本篇文章中，我们主要想基于奇安信自身情报视野做一些关联扩展分析，希望能从我们的视角出发提供更多的补充信息给到业界。

分析细节

基于奇安信威胁情报中心的历史流量记录，可以看到humansecurity提供的几个C2地址在国内的感染量并不算少，以cbphe.com为例，可以看到cbphe.com22年到23年5月份基本上是每日访问情况比较平稳，从23年开始逐步增长，到了23年5月之后，感染量突然暴增，并一直持续到现在。

另外，我们发现域名flyermobi.com下有多个关联的样本，首先选一个样本进行定性分析，这里随机挑选了一个e6027f962eaaf7dede8a271166409fe6。

样本信息：

MD5：e6027f962eaaf7dede8a271166409fe6

包名：com.gavv.tissm

样本会解密原包中/a/b.data 文件，释放jar，通过dexclassloader的方式加载

原包文件：

移动设备中释放的jar和dex

然后动态加载jar文件：

样本会将释放的jar的版本号(v)、设备型号(tp)、Android系统版本(bdr)、软件版本(rv)、包名(pk)等数据上传到解密出来的url中，对比返回版本信息，如果版本有更新则下载新的jar，从而实现版本更新。url如下：

hxxp://adc[.]flyermobi[.]com/update/update.conf?bdr=xx&rv=x&v=xxx&pk=xxx&tp=Generic+Android-x86_64

1697514168_652e02b8eb32e823ac68d.png!small?1697514169478

解密字符串的部分：

1697514176_652e02c0b674175fe486b.png!small?1697514177288

解密算法：

public class De {public static void main(String[] args) {System.out.println(dec("d62kyun6d", "C4FF3D0FF6730B4AE7BFA387C88862560050076610A3517E03BA599535DEAA943134CA7E20F8138A7D0331"));}public static String dec(String key,String msg){String v7_3 = "";byte[] v7_2;int v0 = 0;if (msg.length()>=2){String v7_1 = msg.toLowerCase();int v2 = v7_1.length() / 2;byte[] v3 = new byte[v2];while(v0 < v2) {int v4 = v0 * 2;v3[v0] = (byte)Integer.parseInt(v7_1.substring(v4, v4 + 2), 16);++v0;}v7_2 = v3;byte[] v6 = a(v7_2, key);try {v7_3 = new String(v6, "UTF-8");} catch (UnsupportedEncodingException e) {throw new RuntimeException(e);}}return v7_3;}public static byte[] a(byte[] arg4, String arg5) {try {SecretKeySpec v5 = Sekey(arg5);Cipher v0 = Cipher.getInstance("AES/CFB/NoPadding");v0.init(2, v5, new IvParameterSpec(new byte[v0.getBlockSize()]));return v0.doFinal(arg4);}catch(Exception v4) {v4.printStackTrace();return null;}}private static SecretKeySpec Sekey(String arg2) {byte[] v2_1;if(arg2 == null) {arg2 = "";}StringBuilder v0 = new StringBuilder(0x20);while(true) {v0.append(arg2);if(v0.length() >= 0x20) {break;}arg2 = "0";}if(v0.length() > 0x20) {v0.setLength(0x20);}try {v2_1 = v0.toString().getBytes("UTF-8");}catch(UnsupportedEncodingException v2) {v2.printStackTrace();v2_1 = null;}return new SecretKeySpec(v2_1, "AES");}}

返回结果中包含下载地址，md5，版本号等内容：

1697514208_652e02e0ae9222c82e778.png!small?1697514209336

释放的jar中，利用webview实现后台刷广告牟利的功能。广告地址通过访问url获取，利用MotionEvent实现自动点击广告。

访问url：http://adc.flyermobi.com/config/config.conf、http://adc.flyermobi.com/config/config.conf.default来获取广告相关url

1697514221_652e02ed2522a0173ea08.png!small?1697514221940

1697514230_652e02f64077eb00f3ad9.png!small?1697514230778

利用webview请求广告：

1697514237_652e02fdd21505f40886d.png!small?1697514238356

1697514245_652e0305b873bee604394.png!small?1697514246505

通过MotionEvent实现广告点击：

1697514252_652e030c3571e6e359f02.png!small?1697514252815

分析到这里，可以确认这个样本行为与humansecurity提到的基本一致，该恶意程序是一个内置的后门，通过后门实际远程下载其他代码模块并加载的功能；目前看到的主要功能模块是用于后台点击广告来牟利。

接下来尝试对相关C2地址进行关联分析，首先将公开披露的这几个域名（cbphe.com 、cbpheback.com、ycxrl.com、dcylog.com、flyermobi.com;）输入到奇安信威胁情报中心的【威胁图谱分析】模块中，威胁图谱会自动将这几个域名的历史解析记录、whois、关联样本等等多种关联关系展示在画布上。

1697514291_652e0333288aa73e55b79.png!small?1697514291683

其中，我们注意到flyermobi.com这个域名有一个解析的IP 128.199.193.15，这个IP上还关联到了其他的域名，其中有一个apkcar.com的域名也解析到128.199.193.15这个IP上，并且其子域名ymex.apkcar.com、ymlog.apkcar.com的域名结构与前面的rnznd.ycxrl.com、z3rv.ycxrl.com（ycxrl.com的子域名）结构相似。

1697514304_652e034034abd3c7c4b66.png!small?1697514304683