VirtualApp（簡稱：VA）是一款運(yùn)行于Android系統(tǒng)的沙盒引擎框架產(chǎn)品，可以理解為輕量級的“Android虛擬機(jī)”。VA具有免安裝、多開、內(nèi)外隔離及對于目標(biāo)App完全控制的能力。VA從表現(xiàn)形式上屬于動態(tài)加載，但是從技術(shù)本質(zhì)上來說是通過增加VAMS對啟動Intent進(jìn)行修改，攔截和代理Android系統(tǒng)消息，并且通過自定義的ClassLoader加載和構(gòu)造未在VA的AndroidManifest.xml中聲明的組件，以達(dá)到對目標(biāo)App的控制效果。

在應(yīng)用運(yùn)行時通過動態(tài)加載消息代理技術(shù)，作為一項(xiàng)在Android系統(tǒng)上已經(jīng)可以成熟使用的手段，除了在VA虛擬引擎框架中，目前也廣泛應(yīng)用在熱更新、應(yīng)用加殼和應(yīng)用動態(tài)保護(hù)等功能中。正常使用VA虛擬引擎技術(shù)一般是為了實(shí)現(xiàn)輕量級版本快速迭代、功能更新、bug修復(fù)和特定安全防護(hù)，但是惡意和流氓應(yīng)用使用該技術(shù)一般是為了逃避安全檢測，延長生命周期，獲取更大的利益。

無論是動態(tài)加載的插件化技術(shù)，還是基于VA的虛擬化引擎技術(shù)，從安全屬性上而言，都在一定程度上挑戰(zhàn)了Android系統(tǒng)的安全要求，谷歌和蘋果對上架應(yīng)用都有對應(yīng)的規(guī)定——禁止使用動態(tài)加載功能。雖然如此，仍然有大量開發(fā)者對VA技術(shù)有需求，例如Android平臺上的雙開應(yīng)用，以及Windows平臺上的Hook機(jī)制和多款成熟虛擬機(jī)軟件，都被用來滿足開發(fā)者的應(yīng)用開發(fā)需求。可見這種技術(shù)本身也是具有兩面性的，我們需要客觀看待。

安天移動安全從2016年開始持續(xù)加強(qiáng)了對VA相關(guān)技術(shù)和應(yīng)用的關(guān)注，并在VA類樣本分析、檢測等方面也有了不錯的成果及獨(dú)特的見解，并對基于VA惡意及非惡意樣本傳播情況進(jìn)行了統(tǒng)計(jì)，如圖1所示：PHP大馬

?

圖1 VA惡意及非惡意樣本傳播情況

從圖1的數(shù)據(jù)上看，VA技術(shù)從誕生開始，整體上非惡意的應(yīng)用數(shù)量就偏少，一直在一個較小范圍，而黑產(chǎn)對于該技術(shù)的采用則激進(jìn)很多，在前期就大幅增多，后期則隨著惡意代碼規(guī)模的減少而減少。

?

?

?

VA技術(shù)帶來的安全風(fēng)險(xiǎn)

VA技術(shù)目前也有用于正常用途的，比如部分游戲愛好者擁有多個賬號，部分白領(lǐng)由于工作原因需要對于個人社交軟件和工作用戶社交軟件進(jìn)行隔離，這一類的需求一直很旺盛。

但是VA實(shí)際上也會給運(yùn)行在VA中的App帶來不可忽視的安全風(fēng)險(xiǎn)，即App的運(yùn)行環(huán)境完全被VA控制，安卓的沙盒隔離機(jī)制被突破，并導(dǎo)致不必要的攻擊入口和風(fēng)險(xiǎn)面暴露。

VA技術(shù)動態(tài)加載可以在運(yùn)行時動態(tài)加載，并解釋和執(zhí)行包含在JAR或APK文件內(nèi)的DEX文件。外部動態(tài)加載DEX文件的安全風(fēng)險(xiǎn)源于：Anroid4.1之前的系統(tǒng)版本容許Android應(yīng)用動態(tài)加載存儲在外部目錄中的DEX文件，同時這些文件也可以被其他應(yīng)用任意讀寫，所以不能夠保護(hù)應(yīng)用免遭惡意代碼的注入；所加載的DEX文件易被惡意應(yīng)用替換或者注入代碼，如果沒有對外部所加載的DEX文件做完整性校驗(yàn)，應(yīng)用將會被惡意代碼注入，那么攻擊者編寫的任意惡意代碼將會被自動執(zhí)行，從而進(jìn)一步實(shí)施欺詐、獲取賬號密碼或其他惡意行為。

?

?

VA技術(shù)帶來的現(xiàn)實(shí)威脅

VA技術(shù)是在虛擬空間中安裝、啟動和卸載APK，是應(yīng)用級的虛擬化技術(shù)，VA中運(yùn)行的惡意應(yīng)用軟件可以逃避殺毒軟件的靜態(tài)檢測，VA框架也被黑灰產(chǎn)用于開發(fā)多開工具、改機(jī)工具、搶紅包工具等方式實(shí)施惡意行為。VA框架上運(yùn)行的插件應(yīng)用程序也被引入了代碼修改風(fēng)險(xiǎn)，重打包的應(yīng)用程序存在隱私泄露、被植入廣告等危害。下面我們將詳細(xì)分析VA技術(shù)帶來的現(xiàn)實(shí)威脅。

（一）作為灰產(chǎn)工具的應(yīng)用

1.1作為多開工具的應(yīng)用

VA創(chuàng)建了一個虛擬空間，使用者可以在虛擬空間內(nèi)任意的安裝、啟動和卸載APK，因此產(chǎn)生了大量的多開工具。

多開工具一直倍受微商、刷量工作室、羊毛黨的青睞。通過明碼標(biāo)價(jià)，服務(wù)于意向商家，以低成本甚至零成本換取了高額利潤。表1即是部分用于電商、微信的多開工具。

表1：電商、微信的多開工具

Hash	包名	程序名
63BD3248BB978A69B76E076F0746D0EC	com.wangniu.locklock	應(yīng)用多開大師
DF*FBF675D1B0532C34ED6FB9DA0B92	com.zhushou.weichat	微信多開助手
D01DC1B2E080E4B394EE60CBA378165C	com.hanyuejian.multrun	超速多開助手
A08B0875E875B95999E34BA94003C3DE	club.vxv.virtual.wechat10	V多開10
30673CEAF050073A78E4FEB6AE4B1970	com.boly.opentreasure	多開寶
48A6C69924DC346ED0BB6754A42444B2	com.jtjsb.weishangdkxh	微商多開小號
275EA224E40727E93B97A2E2883D3B3D	com.xzj.multiapps	多開分身虛擬定位
3BC13D2F0D980748DA204B549A089B77	com.ssapk.smartapp	qq多開-陌陌多開
4AE9E6B63E762F541BE0028610034477	com.leaves.mulopen	多開虛擬精靈

1.2作為改機(jī)工具的應(yīng)用

開發(fā)者利用VA自帶的J*A層Hook，開發(fā)了改機(jī)工具，包括修改設(shè)備參數(shù)，虛擬定位等工具。

以虛擬定位工具為例，該應(yīng)用通過遙感設(shè)置虛擬位置，能夠?qū)崿F(xiàn)虛擬定位的功能，應(yīng)用運(yùn)行截圖如圖2、圖3、圖4所示：

詳細(xì)的流程如下：

（1）安裝需要定位應(yīng)用

（2）設(shè)置虛擬位置

輸入位置信息，通過百度地圖獲取對應(yīng)經(jīng)緯度信息。

接收定位信息，設(shè)置目的位置。

（3）實(shí)現(xiàn)定位功能

獲取虛擬數(shù)據(jù)，通過加載包c(diǎn)om.lody.virtual.client.hook.proxies.location實(shí)現(xiàn)虛擬定位功能。

1.3作為搶紅包工具的應(yīng)用

?

目前流行的搶紅包功能實(shí)現(xiàn)有兩種方案，一種是通過Android AccessiblityServices監(jiān)測用戶窗口，模擬點(diǎn)擊，一種是利用Xposed框架對紅包相關(guān)的函數(shù)進(jìn)行Hook，第二種方案需要Root權(quán)限，但是不必打開微信界面即可搶紅包。VA提供了免Root Hook能力，通過使用開源熱更新框架替換函數(shù)，實(shí)現(xiàn)自動搶紅包功能，下圖5為利用VA的搶紅包工具。

圖5?利用VA的搶紅包工具

?

?

該紅包工具通過框架AndFix替換系統(tǒng)函數(shù)，模擬點(diǎn)擊紅包消息、拆紅包。

模擬點(diǎn)擊紅包消息代碼：

拆紅包代碼：

（二）協(xié)助惡意樣本逃避靜態(tài)檢測（即免殺）

?

由于VA的特性，大量惡意應(yīng)用通過將功能包加密存儲在VA內(nèi)，實(shí)現(xiàn)動態(tài)調(diào)用。傳統(tǒng)的靜態(tài)檢測皆是對應(yīng)用的包名、證書、代碼等進(jìn)行識別，在檢測VA應(yīng)用時，識別的則是VA的信息，沒有惡意特征，因此躲避了查殺。

對于庫內(nèi)VA樣本進(jìn)行篩選，發(fā)現(xiàn)大量色情應(yīng)用使用VA特性繞過檢測，部分應(yīng)用如下表所示。

表2：部分色情應(yīng)用的信息

Hash	包名	程序名
39A7DFBF54AEE118676B76631EEA87C7	PiJtpy.FSo.JCUYSz.EsX	極A品M快eN播
163AFD77B90FED5EA329DD9382415882	Ba.NA.Nj.EnZR.gtraVx	極Tr品qq快x播
3A7FF222EFD71B4D9EFCC38D62FBBA22	ryowpq.ZWJ.BlpA.Qd.MA	極nWk品d快iU播
2CD06A50F81D040A4332DC78707B952C	vss.AfjN.hEfi.zzEO	9t1atTbmoV
7C*DB8C701571C*6D089366260CB78	CXs.UbxEPk.aAnE.rXS.Ue	極G品W快Ldv播
F5487B8119524D56B80C62A57D33821F	mk.EjNb.wrGgb.hM	極BH品Jgs快Gd播
1B75C8A259BE16F87A44E64B0133E648	FeLkj.RgHuMG.HM.rKtf.XaAIs	極l品tH快Zm播
FA70E42DCDED167392D0A689FA40A795	LfCrW.ytu.DU.py.LdL	極Mh品Tge快vYB播
F17F38CB8E6E3A12D0944654AF743F14	STy.je.iDB.lASpKL.XEVJ	極zh品F快Gx播
7CC669371A5BC665333F1E4BF0AC87E7	kbl.dia.ku8	Space Cleaner
2485160BCEA22DA143DEC3ED85A10B61	ax.GP.tLX	9jBg1sCTCNJV

大量不規(guī)范應(yīng)用偽裝成游戲應(yīng)用，利用下載惡意吸費(fèi)。該類應(yīng)用都經(jīng)過了VA處理，部分不規(guī)范應(yīng)用的信息如下表所示。奇熱影視

表3：經(jīng)過VA處理的部分不規(guī)范應(yīng)用的信息

Hash	包名	程序名
B73ED49A0EB81E57CE4BDD7F72B2F54B	com.F2V8X14M92D	速度與激情8:微端
A1C29740AADF18BC7B009B0A*0F6938	com.B28MRZ1NWMZH	同一個世界:微端
BEB72E838E49D6C6A0E64F240716906A	com.UG11QW5Y3K4	夢想三國:微端
713672C6C7E645325B52077FF883887A	com.NCI3PUW263	街頭籃球:微端
EB9ECBCE0A039FA5B11000F2899204F5	com.U0Z7JU1DX349952	滾蛋吧腫瘤君:微端
56B7CFC8C3FE136DB7CA949B091E6A46	com.N875MO9H1982P	寵物王國:微端
7E134A076FF8DE2263ADADE7C228A9F1	com.CJB959608DP17I8	湯姆貓跑酷:微端
675232305C3C75B250E839D9BA1E16D0	com.JV6R6XY26S2	割繩子2:微端
17768126040DC3533CCCE0440F36C1C8	com.PV411PNTI8	登山賽車2:微端
B*49074CB832BC2FF805FDA3003CA77	com.C3N0221Q0HH314	暴擊僵尸:微端
968C6498E6D162856C7BB11361276CD2	com.RAY6NMD0S2Y60T	消滅星星:微端

（三）為APP提供運(yùn)營環(huán)境（即重打包）

?

3.1基于VA環(huán)境的隱私竊取

VA代碼可以不通過修改代碼即重打包應(yīng)用，且自帶免Root Hook能力，繞過重打包檢測的同時，實(shí)施惡意行為。以Trojan/Android.twittre家族為例。

通過VA啟動Twitter，Twitter啟動后，修改后的VirtualCore模塊Hook了EditText類的getText函數(shù)，從而在Twitter登錄窗口劫持用戶的輸入，竊取用戶的登錄憑證。

3.2基于VA環(huán)境的廣告植入

由于應(yīng)用運(yùn)行在VA環(huán)境下，因此很多重打包應(yīng)用會植入廣告部分。

以某類重打包應(yīng)用內(nèi)嵌廣告為例。

（1）內(nèi)嵌廣告結(jié)構(gòu)：

（2）監(jiān)聽?wèi)?yīng)用安裝，啟動廣告服務(wù)：

（3）上傳設(shè)備固件信息，請求廣告：

（4）下載應(yīng)用，判斷“adType”，通過VA安裝該應(yīng)用：

?

?

VA檢測及防范措施

通過分析，可知VA技術(shù)在實(shí)現(xiàn)雙開或其他模板時破壞了安卓的沙盒隔離機(jī)制，并且讓用戶產(chǎn)生因?yàn)楹拖到y(tǒng)隔離而帶來的安全感，需要知道的是這種技術(shù)性隔離也是從事實(shí)上拒絕了系統(tǒng)原生安全機(jī)制，并引入了新的風(fēng)險(xiǎn)以及運(yùn)營成本，同時VA技術(shù)也給系統(tǒng)帶來了不小的安全隱患，無法檢測惡意實(shí)體、母體權(quán)限過大、安裝繞過、繞過市場監(jiān)管等是目前無法進(jìn)行有效防護(hù)的主要因素。在VA安全防范方面，應(yīng)確保所加載的DEX/APK文件的傳輸通道和存儲位置安全，或者對加載源進(jìn)行完整性校驗(yàn)和白名單處理。

在VA檢測技術(shù)方面，自2016年下半年以來，安天移動安全持續(xù)對手機(jī)雙開應(yīng)用進(jìn)行標(biāo)定。無論是VA類的惡意樣本，還是常規(guī)惡意樣本，安天移動安全都進(jìn)行了有效的對抗，基于自動化預(yù)處理平臺，可以對未知樣本進(jìn)行細(xì)粒度的解析，生成對應(yīng)的結(jié)構(gòu)化中間件結(jié)果，并利用前置引擎進(jìn)行有效降維，為后期樣本分析和科學(xué)研究產(chǎn)生高價(jià)值數(shù)據(jù)。安天移動安全檢測框架則從不同維度對未知樣本進(jìn)行檢測，從證書、符號、操作碼等常規(guī)檢出維度上升到文件結(jié)構(gòu)以及自定義向量等高維層次進(jìn)行計(jì)算，有效保持在移動惡意代碼處置上的競爭力。安天移動安全也正在持續(xù)加強(qiáng)同國內(nèi)一線終端廠商深入合作，通過融入系統(tǒng)底層安全機(jī)制，為上層應(yīng)用生態(tài)提供原生級的安全防護(hù)能力。

?

?

安天移動安全引擎技術(shù)體系助力打通產(chǎn)學(xué)合作

?

安天移動安全長期與高校展開產(chǎn)學(xué)合作，本著“以理論突破技術(shù)發(fā)展，以技術(shù)反哺理論創(chuàng)新”的思路，致力在移動終端惡意代碼檢測技術(shù)領(lǐng)域研究出新的成果。武漢大學(xué)史鹿曼、傅建明等人發(fā)表的《“Jekyll and Hyde” is Risky: Shared-Everything Threat Mitigation inDual-Instance Apps》論文，成功被第17屆ACM移動系統(tǒng)、應(yīng)用和服務(wù)國際的會議（簡稱MobiSys 2019）收錄，該論文針對雙開應(yīng)用程序創(chuàng)造性地提出了新的惡意VA檢測方法，安天移動安全為該論文研究提供了豐富的惡意樣本分析訓(xùn)練數(shù)據(jù)和分析檢測模型支持。

圖6 MobiSys2019會議

?除了VA類的惡意樣本，安天移動安全對各種隱私危害、不良不規(guī)范和惡意類型的移動惡意樣本有著深刻的認(rèn)知和技術(shù)積累，并形成了完整的自動化預(yù)處理平臺和不同的安全檢測框架。歡迎高校、研究機(jī)構(gòu)或企業(yè)單位與我們一起探討移動惡意代碼檢測分析難題。

總結(jié)

以上是生活随笔為你收集整理的VirtualAPP技术应用及安全分析报告的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。