歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

VirtualAPP技術應用及安全分析報告

來源:本站整理 作者:佚名 時間:2019-07-03 TAG: 我要投稿

VirtualApp(簡稱:VA)是一款運行于Android系統的沙盒引擎框架產品,可以理解為輕量級的“Android虛擬機”。VA具有免安裝、多開、內外隔離及對于目標App完全控制的能力。VA從表現形式上屬于動態加載,但是從技術本質上來說是通過增加VAMS對啟動Intent進行修改,攔截和代理Android系統消息,并且通過自定義的ClassLoader加載和構造未在VA的AndroidManifest.xml中聲明的組件,以達到對目標App的控制效果。
在應用運行時通過動態加載消息代理技術,作為一項在Android系統上已經可以成熟使用的手段,除了在VA虛擬引擎框架中,目前也廣泛應用在熱更新、應用加殼和應用動態保護等功能中。正常使用VA虛擬引擎技術一般是為了實現輕量級版本快速迭代、功能更新、bug修復和特定安全防護,但是惡意和流氓應用使用該技術一般是為了逃避安全檢測,延長生命周期,獲取更大的利益。
無論是動態加載的插件化技術,還是基于VA的虛擬化引擎技術,從安全屬性上而言,都在一定程度上挑戰了Android系統的安全要求,谷歌和蘋果對上架應用都有對應的規定——禁止使用動態加載功能。雖然如此,仍然有大量開發者對VA技術有需求,例如Android平臺上的雙開應用,以及Windows平臺上的Hook機制和多款成熟虛擬機軟件,都被用來滿足開發者的應用開發需求。可見這種技術本身也是具有兩面性的,我們需要客觀看待。
安天移動安全從2016年開始持續加強了對VA相關技術和應用的關注,并在VA類樣本分析、檢測等方面也有了不錯的成果及獨特的見解,并對基于VA惡意及非惡意樣本傳播情況進行了統計,如圖1所示:

圖1 VA惡意及非惡意樣本傳播情況
從圖1的數據上看,VA技術從誕生開始,整體上非惡意的應用數量就偏少,一直在一個較小范圍,而黑產對于該技術的采用則激進很多,在前期就大幅增多,后期則隨著惡意代碼規模的減少而減少。
VA技術帶來的安全風險
VA技術目前也有用于正常用途的,比如部分游戲愛好者擁有多個賬號,部分白領由于工作原因需要對于個人社交軟件和工作用戶社交軟件進行隔離,這一類的需求一直很旺盛。
但是VA實際上也會給運行在VA中的App帶來不可忽視的安全風險,即App的運行環境完全被VA控制,安卓的沙盒隔離機制被突破,并導致不必要的攻擊入口和風險面暴露。
VA技術動態加載可以在運行時動態加載,并解釋和執行包含在JAR或APK文件內的DEX文件。外部動態加載DEX文件的安全風險源于:Anroid4.1之前的系統版本容許Android應用動態加載存儲在外部目錄中的DEX文件,同時這些文件也可以被其他應用任意讀寫,所以不能夠保護應用免遭惡意代碼的注入;所加載的DEX文件易被惡意應用替換或者注入代碼,如果沒有對外部所加載的DEX文件做完整性校驗,應用將會被惡意代碼注入,那么攻擊者編寫的任意惡意代碼將會被自動執行,從而進一步實施欺詐、獲取賬號密碼或其他惡意行為。
VA技術帶來的現實威脅
VA技術是在虛擬空間中安裝、啟動和卸載APK,是應用級的虛擬化技術,VA中運行的惡意應用軟件可以逃避殺毒軟件的靜態檢測,VA框架也被黑灰產用于開發多開工具、改機工具、搶紅包工具等方式實施惡意行為。VA框架上運行的插件應用程序也被引入了代碼修改風險,重打包的應用程序存在隱私泄露、被植入廣告等危害。下面我們將詳細分析VA技術帶來的現實威脅。
(一)作為灰產工具的應用
1.1作為多開工具的應用
VA創建了一個虛擬空間,使用者可以在虛擬空間內任意的安裝、啟動和卸載APK,因此產生了大量的多開工具。
多開工具一直倍受微商、刷量工作室、羊毛黨的青睞。通過明碼標價,服務于意向商家,以低成本甚至零成本換取了高額利潤。表1即是部分用于電商、微信的多開工具。
表1:電商、微信的多開工具
Hash
包名
程序名
63BD3248BB978A69B76E076F0746D0EC
com.wangniu.locklock
應用多開大師
DF*FBF675D1B0532C34ED6FB9DA0B92
com.zhushou.weichat
微信多開助手
D01DC1B2E080E4B394EE60CBA378165C
com.hanyuejian.multrun
超速多開助手
A08B0875E875B95999E34BA94003C3DE
club.vxv.virtual.wechat10
V多開10
30673CEAF050073A78E4FEB6AE4B1970
com.boly.opentreasure
多開寶
48A6C69924DC346ED0BB6754A42444B2
com.jtjsb.weishangdkxh
微商多開小號
275EA224E40727E93B97A2E2883D3B3D
com.xzj.multiapps
多開分身虛擬定位
3BC13D2F0D980748DA204B549A089B77
com.ssapk.smartapp
qq多開-陌陌多開
4AE9E6B63E762F541BE0028610034477
com.leaves.mulopen
多開虛擬精靈
1.2作為改機工具的應用
開發者利用VA自帶的J*A層Hook,開發了改機工具,包括修改設備參數,虛擬定位等工具。
以虛擬定位工具為例,該應用通過遙感設置虛擬位置,能夠實現虛擬定位的功能,應用運行截圖如圖2、圖3、圖4所示:

詳細的流程如下:
(1)安裝需要定位應用

(2)設置虛擬位置
輸入位置信息,通過百度地圖獲取對應經緯度信息。

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺