數十萬會蒐集個資的中文色情應用程式蔓延亞洲,台灣排行第三

 “想看完整影片?請升級會員 “ 但有些影片,就算升到最高等級,付錢後,還是看不到影片….這是近日一批色情應用程式的技倆 !

激情快播 (SexQvodPlay),AV大片 (AVPlayer),优优快播 (UUQvodPlay),3D快播 (3DQvodPlay),春爱影院 (SexMovie),幻想影院 (DreamMovie),绝密影院 (BannedMovie),AV快播 (AVQvodPlay),成人影院 (AdultMovie)…..這些不肖色情應用程式在亞洲蔓延,這批色情應用程式會產生一大堆廣告,甚至引來更多色情應用程式。某些還會偷偷蒐集使用者不會想透露的敏感資訊,甚至還會存取使用者的私人簡訊、地理位置、聯絡資訊、裝置識別碼,以及裝置的 SIM 卡序號。

若使用者離線,或者應用程式在審查嚴格的地區執行時,應用程式就會假裝成一般正常程式。比如提供「名言佳句」的應用程式。但是,一旦離開”警戒區”,這些應用程式就會露出真面目….

網路上最熱門的賺錢管道之就是色情,不論是合法的色情內容,或是利用色情為餌的各種網路詐騙。去年,趨勢科技發現了一個專門透過色情網站散布的新木馬程式變種:Marcher。前年,歹徒利用熱門色情應用程式為誘餌,入侵了南韓數百萬民眾的手機。

色情應用程式在 iOS 和 Android 平台上散布,某些甚至滲透到 Apple 的 App Store 官方應用程式商店

最近又出現了一波利用這類誘餌的詐騙。我們發現,有大量中文介面的色情應用程式在 iOS 和 Android 平台上散布,某些甚至滲透到 Apple 的 App Store 官方應用程式商店。目前有數十萬個這種 非必要程式 ( Potentially unwanted application 簡稱 PUA) 正透過色情網站、熱門討論區以及其他應用程式內的廣告來散布。這些程式並無特別的惡意行為,不過會蒐集使用者的敏感資訊,如果在 Android 裝置上,還可攔截使用者的私人簡訊。

趨勢科技發現這類色情應用程式正如火如荼地四處散播,而且如果使用者不在特定地區,它們還會偽裝成正常程式。其背後的散播者 (目前我們在這數十萬個程式背後找出了兩名散播者) 還會假冒知名企業來取得這些不肖程式所需的企業憑證。這些色情應用程式甚至根本無法看到其宣稱的內容,歹徒只是誘騙使用者下載更多應用程式來讓他們賺錢,或者引誘使用者購買 VIP 會員之後就沒有下文。

惡意連結,通常放在色情網站或廣告上

為了散布這些應用程式,歹徒使用了三層式派送架構:惡意連結 (通常放在色情網站或廣告上)、安裝機制 (通常偽裝成正常的應用程式安裝網站)、後台伺服器 (用來製作與存放 PUA)。當使用者點選惡意連結,就會被導向惡意程式安裝機制,接著會出現畫面請使用者下載後台伺服器上的某個應用程式。

Figure 1. The Void Arachne campaign attack diagram

圖 1:三層式派送架構:惡意連結–>安裝機制–>後台伺服器。

經由這樣的架構,歹徒很容易將這類程式 散布到各種作業系統。不過,這個機制要能運作,歹徒必須蒐集使用者系統的相關資訊。一旦確定使用者所使用的作業系統之後,就會將使用者導向不同的網址來下載對應的應用程式。

Figure 2. An attacker-controlled website that hosts a malicious payload

圖 2:歹徒的程式碼會根據不同瀏覽器版本來安裝不同應用程式。

主要分佈在中國大陸,其次為日本和台灣

趨勢科技已發現多個色情網站就是利用 HTTP 重導的方式來散布不同的應用程式。由於此方法成效良好,因此這些不肖應用程式已經蔓延至許多亞洲國家,大多數都是華人地區,原因應該是這些程式都是中文介面:

Figure 3. VPN advertising services that can “overcome” the Great Firewall of China

圖 3:Android 不肖色情應用程式蔓延至許多亞洲國家,台灣排行第三

含有不肖色情應用程式連結的色情網站

  • bysun.cc
  • eeeeioslyee4.pw
  • cc
  • 238-114.ffjj-2.com
  • ksmsmk.com
  • cn
  • 39lo.com
  • 919cp.com
  • com
  • cesicc.org.cn

Figure 4. A pinned Telegram message containing a malicious MSI file embedded in a zip file

圖 4:會將使用者重導至色情應用程式下載網頁的網站。

不肖色情應用程式所用過的 11個名稱

趨勢科技所蒐集到的資訊,我們已經發現這些不肖的色情應用程式都使用了幾個主要名稱。接著,我們比對了 2016 年和 2017 年這些名稱所出現的 PUA 數量,其總數略為成長:2017 第一季為 53 萬,較 2016 年第一季多 1 萬個。

名稱 安裝機制所在網域 後台伺服器
1.       激情快播 (SexQvodPlay) iosldy. hzt88. com obqpjufoz. qnssl. com
2.       AV大片 (AVPlayer) html5. jiuxinsj. com o4bqvkk4i. qnssl. com
3.       优优快播 (UUQvodPlay) waszyy. com www. mhc01. com.
4.       3D快播 (3DQvodPlay) www.afuxz.com

hvcvxc. com

www. mhc01. com.
5.       春爱影院 (SexMovie) wdfw. ksmsmk. com pa. 51cgj. com
6.       幻想影院 (DreamMovie) csdt. isoucha. com pa. 51cgj. com
7.       绝密影院 (BannedMovie) wtce. eduigou. com pa. 51cgj. com
8.       AV快播 (AVQvodPlay) html5. jiuxinsj. com iosipa. ywdapaia. com

 

9.       成人影院 (AdultMovie) html5. senruilicai. com iosipa. ywdapaia. com

 

10.     快播鸡年版 (QvodPlay Rooster Version) ios. syjlzs. com www. hymxz. com
11.     快播2017HD版 (QvodPlay 2017 HD Version) wap. zgqlxw. com pre. ghbyl. com

 

表 1:色情應用程式所用過的名稱。

這些名稱囊括了多種應用程式,其中一個名稱甚至包含高達 100 種不同的應用程式,而且每一種都有大概 10 萬個樣本左右。這些後台主機所提供的應用程式,大約有 52,000 個為 iOS 應用程式,其餘的為 Android 應用程式。

PUA 作者分析

如前面提到,趨勢科技已經發現多個專門用來製作和存放這數十萬個色情應用程式的後台伺服器,我們可透過伺服器所在的網域查出註冊者的詳細資料。根據我們的資料,「快播鸡年版 (QvodPlay Rooster Version)」和「快播2017HD版 (QvodPlay 2017 HD Version)」都是同一作者所散布。而「春爱影院 (SexMovie)」、「幻想影院 (DreamMovie)」、「绝密影院 (BannedMovie)」則是另一位作者所為。此外,經過我們確認,許多包含 PUA 連結的網站都註冊在同一人名下。

Figure 5. A malicious MSI file masquerading as a Simplified Chinese language pack for Telegram

圖 5:圖中框出來的 PUA 網站都註冊在同一人名下。

Figure 6. A deepfake pornographic video sample shared on the threat actor’s Telegram channel

圖 6:這些框出來的網站也是註冊在同一人名下。

不僅如此,從其付款資訊中我們發現,這全部數十萬個色情應用程式背後的受款人只有兩位。兩位受款人各自獨立,兩者之間我們找不出有任何關聯。

正派企業遭歹徒駭入以散布 iOS 色情應用程式

一家企業的應用程式若要在 Apple 的 App Store 上架,必須先取得一個 D-U-N-S® 編號來註冊企業憑證。然而要取得 D-U-N-S® 編號,企業必須提供相關詳細資料 (如營業執照等等) 並且要符合某些條件以確認公司確實存在。由於這些條件限制,要取得一個合法的憑證其實相當不易。

但儘管如此,歹徒還是找到了克服的方法,例如他們會:

  • 先想辦法查出一家合法公司的 D-U-N-S® 編號。
  • 然後透過網路釣魚或者從地下市場取得註冊企業憑證時所需的其他相關資料。

前述的色情應用程式就是由多家知名企業的企業憑證所簽署,然而我們發現,這些企業本身並未註冊任何應用程式。因此,PUA 作者很可能是偷取這些企業的資訊之後,假冒這些企業名義來申請憑證,進而用於散布色情應用程式。我們發現有些名稱相同的色情應用程式確實是使用同一個憑證所簽署。

不過,像這樣以非法方式取得企業憑證的手法,對 Apple 來說早已不是新聞。我們早在文章中討論過第三方應用程式商店如何濫用 Apple 的開發者企業方案 (Developer Enterprise Program) 來散布越權廣告程式。不過這些色情應用程式的作者採取的是另一種方法,也就是假冒知名企業名義來取得企業憑證。

“想看完整影片?請升級會員 “ 但就算升到最高等級,使用者還是看不到影片

前面提到,色情應用程式主要是為了賺錢。通常,這類程式會讓使用者免費觀賞部分內容,但若要觀賞完整內容就必須加入會員。但這批色情應用程式的作法卻非如此,使用者付了錢之後根本看不到影片。程式會不斷彈出視窗要求使用者付款,並鼓勵使用者升級會員,但就算升到最高等級,使用者還是看不到影片。

Figure 7. An infected nudifier application shared on the Void Arachne Telegram channel

圖 7:應用程式的付款畫面,最高級的會員費用是 68 塊人民幣,約 10 美元。

Figure 8. A pinned message on Void Arachne’s Telegram channel featuring a malicious MSI file for an AI-powered app

圖 8:付款畫面和功能的程式碼。

同意安裝色情應用程式後,廣告與更多色情應用程式生生不息,還會偷偷蒐集使用者個資

到目前為止,這批色情應用程式與其他 PUA (例如灰色軟體) 的散布方式大致相同,它們大多在使用者同意的情況下安裝到裝置上,但卻會造成不良後果,例如:產生一大堆廣告,或者引來更多色情應用程式。某些還會偷偷蒐集使用者不會想透露的敏感資訊。我們在網路上發現的 Android 色情應用程式,其實會存取使用者的私人簡訊、地理位置、聯絡資訊、裝置識別碼,以及裝置的 SIM 卡序號。

在 iOS 方面,網路上發現的色情應用程式較不具侵略性,主要是不斷地散布。這些程式在啟動之後,會連上遠端伺服器來下載應用程式清單。接著要求使用者點選圖片和安裝更多類似程式。

Figure 9. A screenshot of the Void Arachne Telegram channel advertising face-swapping applications

圖 9:用來顯示應用程式清單的程式碼。

對這類以非法取得的企業簽章來簽署的 iOS 應用程式,Apple 已祭出反制手段。iOS 會顯示訊息要求使用者到裝置的「設定 > 一般 > 裝置管理」設定當中去手動信賴某個企業憑證才能啟動該應用程式。不過,一旦您信賴某個憑證,任何後續安裝的應用程式若使用相同憑證,就會自動獲得信賴,不再顯示訊息。

在 Apple App Store 上架的 iOS 色情應用程式惡意行為

撰寫和散布 PUA 的駭客隨時都在想辦法避開 Apple 的審查,以便滲透到 App Store。這批色情應用程式利用了多種不同方法來偽裝這些應用程式,目前我們已發現三種偽裝正常應用程式的手法:本地組態設定、變成「容器」、因地制宜的偽裝。

使用本地組態設定技巧的 PUA 一般都偽裝成瀏覽器或小遊戲。這些程式下載之後,會新增一個「快速檢視」或彈出式按鈕,將使用者導向某個色情網站來引誘使用者安裝 PUA。

Figure 10. A screen capture of a video posted on a Telegram channel wherein the threat actor uses AI face- and voice-cloning technology on a WhatsApp call

圖 10:偽裝應用程式樣本以及 PUA 引誘預覽視窗。

這類應用程式的色情網址不是直接存放在 location 檔案內,就是藏在 plist 檔案的 JavaScript 程式碼中,如圖 11 所示。

Figure 11. An infected voice-changing and face-swapping AI app installer on Telegram

圖 11:儲存在 location 檔案或 plist 檔案中的色情網址。

除了暗藏色情網址的應用程式之外,許多應用程式還內建了色情搜尋工具,例如前面的播歌軟體。

第二種技巧 (變成容器) 的運作方式如下:應用程式先從遠端伺服器取得 plist 組態檔,下載之後,接著修改使用者預設值。這些程式會讓自己變成一個容器,顯示從遠端伺服器下載的內容。內容當中可能包含色情網站連結 (如前述說明)、其他應用程式的連結,或色情搜尋工具。

Figure 12. MSI binary table that shows embedded DLLs

圖 12:從遠端下載 plist 的程式碼。

圖 12 的程式碼來自「dmoe.cn」網域的某個應用程式。該程式在啟動之後,會將使用者導向伺服器所傳回的網站。在這個例子,使用者會連上一個名叫「草榴社區」的色情網站。該網站的首頁還有各種色情資源的廣告。除此之外,該網站還會將使用者導向 Apple App Store 下載另一個 PUA。不過後者目前已經被 Apple 移除。

Figure 13. MSI action table

圖 13:容器應用程式 (a) 將使用者導向色情網站 (b),再將使用者導向一個色情應用程式下載頁面 (c)。

當應用程式在審查嚴格的地區執行時,就會從色情應用程式,變成「名言佳句」

最後一項偽裝手法 (因地制宜的偽裝) 需要用到使用者所在位置的資訊。若使用者離線,或者應用程式開啟時使用者不是在某個特定國家,那應用程式就會假裝成一般正常程式。如圖 14 所示,同樣的應用程式,一旦離開特定地區,就突然間變成了提供「名言佳句」的應用程式。但是,一旦到了特定國家,這些應用程式就會露出真面目,變回色情應用程式。

Figure 14. Firewall rule addition

圖 14:PUA 偽裝成正常應用程式。

這些應用程式可透過第三方 IP 服務來辨識使用者 IP 所在地理位置,或從使用者裝置取得行動國家代碼 (MCC) 與行動網路代碼 (MNC)。藉由這些地理位置資訊,當應用程式在審查嚴格的地區執行時,就會假裝成正常程式,以便避開 Apple 的審查。

Figure 15. Firewall rule creation

圖 15:利用地理位置資訊來避開 Apple 審查的程式碼。

前面說過,這些應用程式會從遠端伺服器取得其他色情應用程式的下載網址。這些網址經常變換,從圖 16 就可看出這些應用程式如何能夠不斷散布。我們看到這些程式的作者為了避開 Apple 審查,投入了相當多的時間和資源,其目的當然是為了讓程式散播得越廣越好。目前我們只發現了三種散布技巧,但歹徒很可能還有其他技巧我們尚未發現。

Figure 16. Inbound firewall rule configuration

圖 16:應用程式連結至更多 PUA 和色情網站。

儘管這些 PUA 屬於遊走在法律邊緣的灰色軟體,但其散布手法卻是透過違法方式取得正派企業的憑證。此外,使用地理位置資訊來避開審查、蒐集使用者資訊、存取 Android 裝置上的私人通訊記錄、引誘使用者付費收看影片結果卻是一場騙局等等都屬於非法行為。

根據我們蒐集到的樣本顯示,受害者大多位於亞洲國家,不過卻突顯出其散布手法確實能避開審查流程。而且這樣的手法,其他歹徒也很容易效法。從資料看來,其背後的作者只是少數 (我們才找到兩位),但卻有辦法在亞洲地區如此猖獗,甚至打入歐洲。像這樣以色情為誘餌的詐騙手法總是能夠歷久不衰,而且未來仍將是駭客入侵行動用戶裝置的一項熱門工具。

風險與防範方法

趨勢科技建議使用者在從第三方 (也就是非官方) 應用程式商店下載應用程式時要格外小心。因為使用者很可能會遇到像本文介紹的不肖程式。企業應制定明確規範來降低員工遭遇這類應用程式的風險,例如:禁止員工使用未經核准的應用程式商店以確保員工個人裝置的安全。一些行動裝置資安軟體,如趨勢科技行動安全防護,防止這類程式安裝以免危害裝置。此外,還有趨勢科技 PC-cillin 雲端行動安全防護可為多種裝置提供深層防護,自動偵測並刪除這些可能有害的程式 (PUA)。

在我們將研究發現通報給 Apple 之後,蘋果也在我們的協助下將這些 PUA 從 App Store 下架。詳細的入侵指標 (IoC) 與相關 SHA256 雜湊碼以及惡意網域資訊,請參閱這份附錄

原文出處:PUA Operation Spreads Thousands of Explicit Apps in the Wild and on Legitimate App Stores  作者:Lilang Wu (行動裝置威脅回應工程師)