Google 披露一家供应商的供应链攻击导致恶意软件被预装在数百万台 Android 设备上。Google 并未明确列出为此事负责的人,但表示存在问题的供应商叫 Yehuo 或 Blazefire,本文深入研究了该中国供应商的身份。

谷歌跟踪Android供应链安全-冯金伟博客园

  Yehuo 对应普通话野火,这家有问题的供应商在同一实体使用的两个公司名中都使用了 Blazefire 和 Wildfire。

  通过搜索可以在中国软件开发者网络中发现使用相同名称并提及域名 blazefire.com 的账户。更多的线索指向 gamerbbs.cn 上的用户 Yehuo,该用户发布了一个名为小小军姬的手机游戏,并提供了在 blazefire.com 的下载地址。

  通过 domaintools.com 对 blazefire.com 历史记录的研究,该域名 2015 年被 tosaka1027@gmail.com 注册,随后分配给一家名为上海野火网络科技有限公司。

  该公司提供“移动设备预装业务和广告推广服务”。该公司的描述性介绍表示其预装合作伙伴覆盖整个手机产业链,包括芯片制造商、设计公司、手机制造商、手机代理、应用商店与电子商务平台。

  通过对 tosaka1027@gmail.com 相关线索发现,该地址被用来注册24 个域名。其中至少 7 个域名与传播的 Android 恶意软件有关。

  注册域名中,elsyzsmc.com 与 rurimeter.com 与 Triada 恶意软件的传播有关。Triada 被发现已经预装载许多设备中,并用于安装显示广告的垃圾邮件程序。

  2017 年 7 月,俄罗斯安全厂商 Dr.Web 表示Triada 预装在至少四款低价 Android 机型上。到了 2018 年,Dr.Web 发现Triada 扩大了覆盖范围,安装在了 40 种不同型号的 Android 设备上。

  另外五个与 tosaka1027@gmail.com 相关的域名:99youx.com、buydudu.com、kelisrim.com、opnixi.com、sonyba.com 被认为早在 2016 年就与 Hummer 木马的传播有关。Hummer 木马是一个强大的 Android 恶意软件,经常与游戏捆绑在一起,控制受感染的设备。

  在 domaintools 上检索与该公司(Shanghai Blazefire Network Technology Co)相关的记录。如下所示,得到共计 11 个域名,其中包括 blazefire.net,注册邮箱是 yehuo@blazefire.net。

域名 创建时间 注册商
2333youxi.com 2016-02-18 ALIBABA CLOUD COMPUTING (BEIJING) CO., LTD
52gzone.com 2012-11-26 ALIBABA CLOUD COMPUTING (BEIJING) CO., LTD
91gzonep.com 2012-11-26 ALIBABA CLOUD COMPUTING (BEIJING) CO., LTD
blazefire.com 2000-08-24 ALIBABA CLOUD COMPUTING (BEIJING) CO., LTD
blazefire.net 2010-11-22 ALIBABA CLOUD COMPUTING (BEIJING) CO., LTD
hsuheng.com 2015-03-09 GODADDY.COM, LLC
jyhxz.net 2013-07-02
longmen.com 1998-06-19 GODADDY.COM, LLC
longmenbiaoju.com 2012-12-09 ALIBABA CLOUD COMPUTING (BEIJING) CO., LTD
oppayment.com 2013-10-09 ALIBABA CLOUD COMPUTING (BEIJING) CO., LTD
tongjue.net 2014-01-20 ALIBABA CLOUD COMPUTING (BEIJING) CO., LTD

  根据上述线索,我们可以发现野火是一个具有多个业务部门的庞大实体。例如 2333youxi.com 是上海千游网络科技有限公司所属的域名,该公司称其“致力于互联网手机游戏的开发与运营”。与域名 blazefire.com 一样,2333youxi.com 最初也是由 tosaka1027@gmail.com 注册,不久所有权变更到野火公司。

  上海千游网络科技有限公司的办公室位于上海市虹口区欧阳路 196 号 10 栋 6 层 344 室,就在上海野火网络科技有限公司的附近,后者位于上海市虹口区欧阳路 196 号 10 栋 6 层 35 室。

  域名 tongjue.net 是上海铜爵网络科技有限公司所属的域名。根据其营销描述,上海铜爵网络科技有限公司与上海全有网络科技有限公司相邻,位于上海市虹口区欧阳路 196 号 10 栋 6 层 36 室。

谷歌跟踪Android供应链安全-冯金伟博客园

  铜爵网络科技有限公司在 2016 年的招聘广告中表述自己“已经发展为大型国内无线互联网网络应用,主要从事手机预安装业务”。招聘的岗位是客户端软件开发,要求描述期望应聘者具备 Windows 木马、病毒或游戏插件的相关知识。这一岗位的职责包括:

打破制造商对手机的限制

研究掌握 Android 操作系统

逆向分析研究安卓手机

研究 anti-brushing 技术并提供 anti-anti-brushing 的措施

  谁是野火?

  上述提到的很多域名在注册记录中都提到了 Hsu Heng,电子邮件地址为 yehuo@blazefire.net。根据网络情报公司4iq.com 对过去多次数据泄露中暴露的密码和电子邮件地址的分析,野火的负责人昵称为 Hagen 或 Haagen,并且使用电子邮局地址 chuda@blazefire.net。

  在中文游戏新闻网站 Youxiguancha.com 上,使用普通话搜索 chuda 一词,可以找到 2016 年的一篇文章,文章中披露了大量野火员工与办公室的照片。该文中也将野火的联合创始人兼 CEO 称为 Chu da。该 CEO 兼有运动(巴萨铁杆球迷)和文艺做派(弹得一手好吉他)。凭借 2015 年带领野火团队和野火产品线高速扩张的表现,楚达收获了硬核联盟首届黑石奖颁发的十大新锐 CEO 荣誉。

  有趣的是,注册人 Chu da 出现在 longmen.com 的历史记录中,longmen.com 也许是该公司最古老、最成功的手游。从 2015 年 4 月开始,该记录将其电子邮件地址变更为 yehuo@blazefire.com。

谷歌跟踪Android供应链安全-冯金伟博客园

  目前尚不清楚 Chuda 是否为 CEO 的真名,还仅仅只是昵称。该公司的副总裁被称为 Hua Wei,可能是真实姓名也可能是华为的化名。根据天眼查的数据,Chuda 还是其他六家公司的高级主管。关于此次事件 Google 拒绝评论,该公司对此也没有回应。Google 会恰当地处理此事,苹果用户仍然可以通过 iTunes 商店下载该公司开发的应用程序。

  *参考来源:KrebsonSecurity,FB 小编 Avenger 编译,转载请注明来自 FreeBuf.COM