音乐软件暗藏“玄机”,个人隐私被无形暴露!

2020-03-27 来源:安全豹作者:安全豹

背景描述

想必各位会在工作和学习之余会打开音乐播放器,来一首自己喜欢的歌曲,当你沉醉其中时,这背后却隐藏着一个无形的盗窃者。


近期,毒霸安全团队通过“捕风”威胁感知系统再次监控到一起针对用户Cookie隐私的窃密攻击活动,溯源分析发现传播母体为音乐播放器“九酷音乐”客户端,该播放器在今年3月初构建的新版本中加入后门插件,主要通过指定关键词筛选窃取用户百度、360、阿里1688等网站平台的Cookie信息,支持包括IE、谷歌、360、QQ等主流浏览器。


简单来说,Cookie就是网站给用户的登陆证书,某种程度上代表用户身份凭证,是非常重要的安全隐私数据。广告平台也往往通过植入第三方Cookie追踪用户网络习惯进行精准广告推送,对于黑灰产业则更加简单粗暴,直接窃取用户Cookie用于网页暗刷、SEO搜索排名优化等,以真实用户身份绕过厂商日益严格的风控准则。甚至直接打包出售给第三方平台用于用户画像分析,或者租售给灰产链条下游的从业者或工作室,已经成为成熟的产业链条。


从18年开始,我们安全团队已经发现多起针对用户Cookie进行非法收集的安全事件,以我们本次发现的“九酷音乐”客户端盗窃Cookie为例,下图为行为流程图:


溯源分析

我们在通过溯源过程中发现,最后的数据上传地址Kp.wwgfg.cn是做搜索引擎SEO“快排系统”的,也是通过该网站关联到主站wwgfg.cn,这个主站主要是在推广九酷音乐和头条军事,该网站的备案公司和病毒母体“九酷音乐安装包”的数字签名均为“郑州北润信息技术有限公司”。

 


其中Kp.wwgfg.cn的“快排系统”则是利用从用户窃取到的Cookie作为支撑,因为搜索引擎其实一直在提升用户的搜索体验,一般来说搜索引擎中都会包含一个评价组件利用用户“搜索关键字”、“点击选择站点”和“站点中停留时长”的信息来调整搜索关键字中各个网站的排名,所以利用“每个Cookie都是一个真实用户”的特性绕开现在各个厂商日益严格的风控标准,能够快速且高效的提升网站在搜索引擎中的排名。也正是因为这些原因,围绕着搜索引擎Cookie的背后已经形成一条完整的产业链,从大量窃取网民“搜索引擎Cookie”信息到公开的贩卖出售,以百度Cookie为例,以下是目前的报价信息。



通过注册此“快排系统”查看目前所支持的业务只有百度PC搜索,我们以一个在百度搜索中排名位于第三页的一个网站为例,为这个网站刷量一天所需的费用在四百多元,但收益和它的建立成本比起来,可以说这其中有非常大的利润空间了。




技术分析

解密加载user.dat

在九酷音乐执行文件目录下有一个加密文件user.dat,这个独立的加密文件中包含窃取用户浏览器Cookie的恶意代码。九酷音乐在启动时加载user.dat,使用内置密钥‘aa930e3741d6e91d’对文件进行解密,加密算法为XXTEA,利用内存反射加载解密后的模块。



盗取用户搜索网址Cookie上传

首先是把目标锁定在IE浏览器,得到IE浏览器保存Cookie的文件夹,获取需要得到的Cookie站点列表,以下为获取网站列表的大致信息。这其中的网站就包括了百度、360和阿里1688。



以下获取百度网站为例,通过关键字比对遍历IE浏览器下的Cookie文件查找指定站点的Cookie文件获取其中有效Cookie数据,例如通过"tieba.baidu.com"对比IE的Cookie文件名中的关键字。将获取Cookie上传到"http://api.a.3whospital.com/action/report",后续从IE浏览器中得获取其他站点Cookie也是通过相同方法获取上传到同一云端的。

 


第二部份在于获取谷歌、360、qq浏览器等市面上主流浏览器的Cookie数据,先后两次获取浏览器中上述网站列表中的Cookie数据分两次上传,第一次上传到"yky.ykyche.com",第二次则是和IE浏览器上传地址相同都为"http://api.a.3whospital.com/action/report"。



这些浏览器的cookie获取和IE稍有些不同,它的站点Cookie数据都是保存在一个本地的Cookie数据库文件当中。首先获取浏览器保存的Cookie文件路径并校验文件是否存在。



通过指定网站去构建sql查询语句,例如"select name,encrypted_value from cookies where host_key='tieba.baidu.com'",查询本地浏览器Cookie数据库文件,获取网站的Cookie。



将获取到的Cookie数据上传到云端,以下为使用wireshark抓取的上传数据包。


最后再将之前所获取的BAIDUID上传到“http://kp.wwgfg.cn/api/Charging/CookiesReport”。



总结

如今网络安全形势日渐严峻,用户的信息越来越无法得到保障,你甚至无法想象一个已经存在多年且外表看似清爽的音乐播放软件,背后竟然会窃取用户个人隐私信息谋取私利。对于这种防不胜防的恶意程序,推荐大家及时的安装金山毒霸,可以有效的拦截此类恶意软件。大家也可以在金山毒霸的软件管家中下载安全可靠的软件。

 

IOC

MD5:

6E81D1CF1AAF95E24765321E2834D5D0

137729A409F1CF3061A0AD7FAEF1C7F1

URL:

http://api.a.3whospital.com/action/report

http://yky.ykyche.com:45678/api/ck.php

http://kp.wwgfg.cn/api/Charging/CookiesReport