音乐软件暗藏“玄机”，个人隐私被无形暴露！

2020-03-27 来源：安全豹作者：安全豹

背景描述

想必各位会在工作和学习之余会打开音乐播放器，来一首自己喜欢的歌曲，当你沉醉其中时，这背后却隐藏着一个无形的盗窃者。

近期，毒霸安全团队通过“捕风”威胁感知系统再次监控到一起针对用户Cookie隐私的窃密攻击活动，溯源分析发现传播母体为音乐播放器“九酷音乐”客户端，该播放器在今年3月初构建的新版本中加入后门插件，主要通过指定关键词筛选窃取用户百度、360、阿里1688等网站平台的Cookie信息，支持包括IE、谷歌、360、QQ等主流浏览器。

简单来说，Cookie就是网站给用户的登陆证书，某种程度上代表用户身份凭证，是非常重要的安全隐私数据。广告平台也往往通过植入第三方Cookie追踪用户网络习惯进行精准广告推送，对于黑灰产业则更加简单粗暴，直接窃取用户Cookie用于网页暗刷、SEO搜索排名优化等，以真实用户身份绕过厂商日益严格的风控准则。甚至直接打包出售给第三方平台用于用户画像分析，或者租售给灰产链条下游的从业者或工作室，已经成为成熟的产业链条。

从18年开始，我们安全团队已经发现多起针对用户Cookie进行非法收集的安全事件，以我们本次发现的“九酷音乐”客户端盗窃Cookie为例，下图为行为流程图:

溯源分析

我们在通过溯源过程中发现，最后的数据上传地址Kp.wwgfg.cn是做搜索引擎SEO“快排系统”的，也是通过该网站关联到主站wwgfg.cn，这个主站主要是在推广九酷音乐和头条军事，该网站的备案公司和病毒母体“九酷音乐安装包”的数字签名均为“郑州北润信息技术有限公司”。

其中Kp.wwgfg.cn的“快排系统”则是利用从用户窃取到的Cookie作为支撑，因为搜索引擎其实一直在提升用户的搜索体验，一般来说搜索引擎中都会包含一个评价组件利用用户“搜索关键字”、“点击选择站点”和“站点中停留时长”的信息来调整搜索关键字中各个网站的排名，所以利用“每个Cookie都是一个真实用户”的特性绕开现在各个厂商日益严格的风控标准，能够快速且高效的提升网站在搜索引擎中的排名。也正是因为这些原因，围绕着搜索引擎Cookie的背后已经形成一条完整的产业链，从大量窃取网民“搜索引擎Cookie”信息到公开的贩卖出售，以百度Cookie为例，以下是目前的报价信息。

通过注册此“快排系统”查看目前所支持的业务只有百度PC搜索，我们以一个在百度搜索中排名位于第三页的一个网站为例，为这个网站刷量一天所需的费用在四百多元，但收益和它的建立成本比起来，可以说这其中有非常大的利润空间了。

技术分析

解密加载user.dat

在九酷音乐执行文件目录下有一个加密文件user.dat，这个独立的加密文件中包含窃取用户浏览器Cookie的恶意代码。九酷音乐在启动时加载user.dat，使用内置密钥‘aa930e3741d6e91d’对文件进行解密，加密算法为XXTEA，利用内存反射加载解密后的模块。

盗取用户搜索网址Cookie上传

首先是把目标锁定在IE浏览器，得到IE浏览器保存Cookie的文件夹，获取需要得到的Cookie站点列表，以下为获取网站列表的大致信息。这其中的网站就包括了百度、360和阿里1688。

以下获取百度网站为例，通过关键字比对遍历IE浏览器下的Cookie文件查找指定站点的Cookie文件获取其中有效Cookie数据，例如通过"tieba.baidu.com"对比IE的Cookie文件名中的关键字。将获取Cookie上传到"http://api.a.3whospital.com/action/report"，后续从IE浏览器中得获取其他站点Cookie也是通过相同方法获取上传到同一云端的。

第二部份在于获取谷歌、360、qq浏览器等市面上主流浏览器的Cookie数据，先后两次获取浏览器中上述网站列表中的Cookie数据分两次上传，第一次上传到"yky.ykyche.com"，第二次则是和IE浏览器上传地址相同都为"http://api.a.3whospital.com/action/report"。