VirtualApp技术黑产利用研究报告

1、 前言

VirtualApp（如下称VA）是一个App虚拟化引擎（简称VA）。VirtualApp建立了一个虚拟空间，你能够在虚拟空间内任意的安装、启动和卸载APK，这一切都与外部隔离，如同一个沙盒。运行在VA中的APK无需在Android系统中安装便可运行，也就是咱们熟知的多开应用。

VA免安装运行APK的特性使得VA内应用与VA相比具备不一样的应用特征，这使得VA可用于免杀。此外，VA对被多开应用有较大权限，可能构成安全风险。

本报告首先简要介绍VA的多开实现原理，以后分析目前在灰色产业的应用，针对在免杀的应用，安全云对此的应对，并给出色情应用做为例子。另外一方面，经过对样本分析，展现了VA对于安装在其内应用的高度控制能力，及其带来的安全风险。最后对本报告进行总结。

2、 VirtualApp原理

Android应用启动Activity时，不管经过何种API调用，最终会调用到ActivityManager.startActivity()方法。该调用为远程Binder服务(加速该调用，Android应用会先在本地进程查找Binder服务缓存，若是找到，则直接调用。VA介入了该调用过程，经过如下方式：

1. 替换本地的ActivityManagerServise Binder服务为VA构造的代理对象，以接管该调用。这一步经过反射实现。

2. 接管后，当调用startActivity启动多开应用时，VA修改Intent中的Activity为VA中己声明的占位Activity。这一步的目的是绕过Android没法启动未在AndroidManifest.xml中声明Activity的限制。

3. 在被多开应用进程启动后，增长ActivityThread.mH.mCallback的消息处理回调。这一步接管了多开应用主线程的消息回调。

在以上修改的基础上，多开应用的Activity启动过程可分为如下两步骤：

步骤一 修改Activity为己声明的StubActivity

步骤二 mCallback从Intent中恢复Acitivty信息

AMS：Android系统的ActivityManagerService，是管理Activity的系统服务

VAMS：VA用于管理多开应用Activity的服务，大量API名称与AMS雷同。

VApp：被多开应用所在的进程，该进程实际为VA派生的进程。

由图可知，VA在AMS和VApp中经过增长VAMS对启动Intent进行了修改，实现了对Android系统的欺骗，而当应用进程启动后，还原Activity信息。经过自定义Classloader令使得Android加载并构造了未在VA的AndroidManifest.xml中声明的Activity。

以上是启动过程的简化描述，实际上，VA对大量Android 系统API进行了Hook，这使得运行在其中的应用在VA的控制下，为VA的应用带来可能性。

3、 在灰色产业的应用

3.1 免杀

VA等多开工具将Android系统与VA内的应用隔离，使得应用的静态特征被掩盖，目前己有恶意应用使用VA对自身重打包，重打包后的应用包名、软件名与原应用不一样，从而实现免杀。安全云使用动态检测关联恶意应用和VA的方式应对该免杀技术。

免杀的常见作法是：恶意应用加密后打包在VA内，由VA在运行时解密APK，将恶意应用的APK安装到VA内并运行。

通过打包后，VA用的包名、证书能够与恶意应用不一样，资源文件、二进制库文件与恶意应用相互独立。基于包名、证书等特征维度的静态检测方式的准确性受到影响。

如图，当静态引擎对VA应用检测时，得到的应用信息（包名、证书、代码等）是VA的信息，没有恶意特征。而当VA运行时，能够解密恶意应用APK，经过反射等技术欺骗Android系统运行未安装在系统中的APK，实现了免杀。

传统静态检测方式

针对该免杀方式，安全云的APK动态检测实现了VA内应用APK的自动化提取，可将VA母包与恶意应用APK子包进行关联查杀。

如图，动态引擎安装并启动APK，当识别出是VA应用时，提取出VA内的己解密的子包，对提取的子包进行检测。根据子包检测结果综合断定母包安全性，并对母包的安全风险进行标记查杀。

动态检测查杀示意图

免杀案例 色情应用

2017年8月以来，安全云监测到部分色情应用使用VA的对自身打包，以达到绕过安全检测的目的。这些应用使用了随机的包名和软件名，而且均对恶意应用子包进行了加密。部分包名如表所示：

从动态检测引擎提取的子包看，一个色情应用子包对应的带VA壳的母包（SHA1维度）数量从1到529不等。27个色情APK共对应1464个VA母包。

该类应用会以各类理由诱导用户升到更高等级的VIP不断支付：

读取用户短信收件箱：

而且能够经过远程服务器控制应用是否运行，控制支付宝和微信支付的开启以逃避支付平台打击：

目前该类色情应用的VA母包和子包均己被标记为灰色。

3.2 重打包

相较于以往反编译后插入代码进行打包编译的方式，使用VA进行重打包具备如下优势：

1. 不须要对原应用进行反编译修改。

因为VA是多开工具，这一优势是显然的。传统的重打包方式是对应用进行反编译成Smali代码，对Application类或Activity进行修改，插入广告展现等代码，再重编译打包回去。而VA重打包的应用只要让应用运行在VA内便可。

2. 有效规避重打包检测

应用可能经过检测签名、包名等方式检查是否被修改。而VA对Android系统的API进行了Hook，其中包括PackageManager的API，这些API用于得到包括签名在内的软件包信息。

3. 通用性强

一样的VA代码未经修改就可打包众多应用，可批量制造多开应用。

4. 功能众多

因为应用运行在VA进程内，VA代码具备与应用等同的权限，从下面的例子可知VA能作到包括但不限于：模拟点击、截图、在Activity建立时插入广告。以

以某一类重打包样本为例，应用被重打包后启动界面增长一个插屏广告，如图：

点击插屏广告后，将下载对应的应用（图中为“斗地主”及”炸金花”）并安装到VA中，并在桌面添加图标。区别于其余应用推广方式，此种方式安装的应用没必要经过Android的包管理器进行安装，必要时也可静默安装。

除了增长启动时的插屏广告，该应用还有如下行为

1. 检查反病毒软件

检查手机上是否安装了反病毒软件，若是存在，则不链接服务器获取命令。

反病毒软件列表由服务器下发：

内容以下：

主流的手机安全应用如30、QQ手机管家、LE安全大师等均在该列表中。

若是存在，则不链接服务器读取命令脚本：

2. 启动应用

可由服务器下发指令控制运行VA内的指定应用：

3. 模拟点击

可对运行在VA内的应用进行点击。

1) 当VA内应用启动时注册Broadcast Receiver：

2) 接收服务器脚本，发送广播

3) 执行点击脚本

（1） 得到DecorViews，该View为Android应用的底层View。由于被多开的应用跑在VA内，所以VA有权限对应用类进行操做。

（2） 对(1)得到的View，调用View.dispatchTouchEvent()模拟触摸操做，支持的操做有，ACTION_DOWN（按下）、ACTION_MOVE（按下和抬起之间的操做）、ACTION_UP（抬起）。

（3） 值得注意的是，只有当用户不存在（未点亮屏幕，未锁屏）时，服务器的任务才会执行：

4. 部分版本可对应用界面进行截图

实现方式与模拟触摸操做相似，先得到DecorView，以后调用Android系统提供的方法进行截屏：

对广播进行响应，并保存截图：

相应的上传截图功能：

5. 在Activity建立时显示广告

VA对Activity的生命周期函数进行了Hook，所以能够方便地在Activity调用onCreate函数时显示广告：

6. 上传设备信息

包括设备的型号、Android Id、分辨率等信息。

7. 上传己安装应用列表

3.3 免Root Hook

VA可在应用Application类建立时执行代码，这些代码先于应用执行。经过结合Hook框架（如YAHFA、AndFix）、VA能够方便对应用进行Hook，其Hook能力与Xposed框架等同。与Xposed框架比较如表所示：

相较于Xposed框架，经过此方式Hook具备以下优势：

1. 不须要Root权限

2. 不须要重启系统就能够从新加载Hook代码，重启应用便可

3. 可与Native Hook框架结合，Hook二进制库。实际上VA自己己使用Native Hook框架对应用的IO操做进行了重定向

VA的免Root Hook能力对于被多开应用是一种安全威胁。VA可作到的包括但不限于：

1. Hook密码相关函数，截取用户输入的密码

2. Hook网络通讯函数，监听网络通讯

3. Hook Android API。伪造Android设备信息、GPS定位记录等。

下面分析某微信抢红包应用，以展现VA免Root Hook的能力。

该样本是一个微信抢红包应用。目前流行的抢红包功能实现上有两种方案，一种是经过Android AccessiblityServices监测用户窗口，当红包关键字出现时，点击对应的View对象；一种是使用Xposed框架对红包相关的函数进行Hook，这种方案须要Root权限，可是没必要打开微信界面便可抢红包。此应用抢红包也使用Hook红包相关函数的方式，可是不须要Root。

1. 注入代码

VA实现了插件化的注入模块，其中一个注入模块为FixBug_AppInstrumentation，该模块替换了ActivityThread的mInstrumentation对象：

mInstrumentation对象会在应用Application类及Activity类建立时被执行相应的回调，该应用了修改了其中一个回调callApplicationOnCreate，在Application执行了红包代码：

其中LuckyMoneyDispatcher为红包功能模块。

函数LuckyMoneyDispatcher.andFixForLuckMoney()实现了方法替换：

使用开源热修补框架AndFix替换com.tencent.mm.booter.notification.b.a()为LuckMoneyMethProxy.a()，并将被替换函数保存为LuckMoneyMethProxy.aOriginal()。

2. 模拟点击红包消息

LuckMoneyMethProxy.a()为替换后的函数，当微信接收到消息时被调用。

函数先判断消息类型，当肯定是红包（436207665）后，解析消息，构造Intent并发送。这一步模拟了点击红包消息时的弹窗。

3. 模拟拆开红包

上一步的弹窗是一个Activity，当弹出时（对应Activity的onResume），mInstrumentation将被回调：

onLuckyMoneyResume根据版本号肯定要反射调用的“拆开红包按钮”（包括BUTTON_OPEN、OBJECT_OPEN、METHOD_OPEN）

最终由MonitorHandler反射调用拆开红包函数：

4、 总结

VirtualApp做为开源的多开应用框架，能够被任何人使用。它在Android系统和被多开应用间增长了中间层。这带来了两方面问题，一方面，VA可掩盖应用的静态特征（包名、证书、资源文件、代码等），使得单纯的静态检测方法失效，应用具备了必定免杀的能力。同一个恶意应用能够有众多VA母包，且母包不包含恶意特征，这给检测引擎识别恶意应用带来了难度。安全云经过动态检测在VA母包运行时动态提取VA应用中的子包，并结合子包的恶意状况对母包的恶意状况进行综合断定，可有效对恶意应用的VA母包进行标记查杀。

另外一方面，因为多开应用运行在VA中，VA对被多开应用具备不弱于Root的权限，可方便有效介入应用运行流程。例如：当应用运行时展现广告，对多开应用进行截屏、模拟点击。更进一步的，VA可经过Hook修改应用的执行流程，得到应用的隐私数据，包括但不限于密码、与服务器的数据通讯、照片等。应用应当对运行在VA或其余多开应用内的带来的安全风险有所了解并加以防范，特别是金融、通信类应用。

安全云己对相关VA应用进行监测，并及时对新型安全威胁做出响应。