“道贼” SDK：揭秘操控数 百万 Android 手机的恶意营 销插件 发布机构： 奇安信病毒响应 中心 2020年7月 1 日 2 目录 “道贼”SDK：揭秘影响数百万 ANDROID 手机的移动互联网恶意营销插件 .......... 1 威胁概述 ................................ ................................ ................................ ................ 3 “道贼”SDK之技术分析 ................................ ................................ .......................... 3 恶意功能 ................................ ................................ ................................ .................. 4 加载方式 ................................ ................................ ................................ .................. 6 影响面及溯源 ................................ ................................ ................................ ......... 7 受影响 ANDROID应用 ................................ ................................ ............................... 7 可能的传播途径 ................................ ................................ ................................ .... 10 感染量省级分布 ................................ ................................ ................................ .... 10 C&C资源及访问特点 ................................ ................................ ............................ 11 与黑产服务器的重叠 ................................ ................................ ............................ 12 始作俑者溯源 ................................ ................................ ................................ ........ 13 总结 ................................ ................................ ................................ ...................... 14 附录 ................................ ................................ ................................ ...................... 15 “道贼”SDK相关 IOC S ................................ ................................ ............................. 15 奇安信威胁情报中心 ................................ ................................ ............................ 26 红雨滴团队（ REDDRIP TEAM） ................................ ................................ ............... 27 参考链接 ................................ ................................ ................................ ................ 29 3 威胁概述 2020年5月，奇安信病毒响应 中心移动安全团队 在日常的威胁分析运 营过程中发现一款 Android平台的恶意 SDK插件，联合安天移动 安全团队 和其他安全研究机构进行深入分析 拓展，确认 SDK具有收集用户隐私信息 和下载执行更多恶意插件的能力 。对影响面的分析显示 这款恶意 SDK插件 被市面上 数百款 Android应用集成 ，结合恶意 SDK后续插件下载量以及奇 安信威胁雷达遥测数据分析 估算至少有 200万台以上的独立 Android终端设 备安装了带有该恶意 SDK插件的应用。基于该恶意 SDK的行为特点以及溯 源到的幕后 组织信息，我们将其命名为“ 道贼”。 基于奇安信威胁情报中心 大数据平台监测，“道贼” SDK自2019年7 月开始被 投入使用， 持续至今累计 至少感染 数百万级移动终端 用户。“道贼” SDK内的恶意代码 通过直接的内嵌插包或间接的动态加载 运行， 运行后 会上 传用户安装的应用列表及手机固件等隐私信息，并从服务器下载执行由攻击 者指定的插件 ，给用户设备造成巨大 的现实隐私泄露风险和潜在的进一步恶 意活动的 安全威胁。通过分析该恶意 SDK幕后组织的业务范围，并结合插 件盗取用户隐私信息的特点来看 ，“道贼” SDK的最终目标是为了帮助幕后 组织通过恶意互联网营销以牟取丰厚的黑灰色收入。 为防止威胁进一步扩散， 奇安信病毒响应中心对 该移动安全事件进行 分析和披露。 “道贼” SDK之技术分析 通过分析和关联， 至今我们发现到已有 247款APP受到该 SDK影响， 累计共 367个样本。 4 恶意功能 奇安信病毒响应 中心移动安全团队和 安天移动安全团队 对SDK的具体 功能做了深入分析，目前基本确认 存在收集用户 隐私和云控执行控制功能 ， 基于此 SDK事实上构建了一个百万级别受控系统的 Botnet，随时可以执行 各种包括推广刷量到网络攻击等各种恶意功能 。 收集用户隐私 受感染的 Android手机应用 启动后， “道贼” 便会上传手机已安装应用 列表、运行中的应用列表、 是否开启通知栏 权限、存储卡和内存大小 等移动 设备隐私信息 至攻击者 服务器。 上传移动设备隐私信息参考图 1 5 上传移动设备隐私信息参考图 2 云控执行插件 “道贼” SDK还会根据攻击者下发的加密指令下载执行更多的恶意插件 ： 例如通过解密 下发的加密云端指令信息 ，并根据解密后的云端指令进一步 下 载指定的插件并 执行，给用户设备造成巨大 的安全威胁。 根据攻击者下发的加密指令下载执行更多的恶意插件 6 加载方式 奇安信病毒响应中心移动安全团队 与安天移动安全团队 针对感染了 “道 贼” SDK的Android 手机应用进行详细分析后发现， 一旦用户运行了相关 APP，就会自动触发 “道贼” SDK的恶意攻击。而“道贼” SDK使用到了两 种不同加载方式，我们将对这两种加载方式进行详细分析。 内嵌插包加载 通过分析发现，相关 黑产组织 会直接把“道贼” SDK经过加密后，采用 插包方式植入 到被感染 APP的入口 activity或者入口 Application 中，一旦 相 关APP运行，就会自动触发 恶意攻击。需要注意的是 ，为了对抗安全检测， 不同的 APP所植入的 “道贼” SDK并不会完全一样。 “道贼” SDK内嵌插包 后修改的 入口 activity及入口 Application 代码截图 动态间接加载 为躲避一些传统安全厂商的恶意代码检测技术，攻击者还会采用更加隐 蔽的动态加载“道贼”插件的方式。比如在 APP运行后，通过解析服务器下 发的插件配置指令文件，再加载执行指定的恶意插件，而其 中就包含着“道 贼”恶意插件。 7 动态加载的代码图 动态加载 “道贼”插件参考图 影响面及溯源 受影响 Android 应用 通过分析和关联，我们发现 “道贼” SDK插件被市面上 数百款 APP使 用，结合恶意 SDK后续插件下载量以及奇安信威胁雷达遥测数据分析后发 现：至少有 200万台独立 Android终端设备安装了带有