標題：BOOMSLANG（樹蚺）移動欺詐家族分析

概述經監測，我們截獲了一起與未知家族有關的欺詐性Android 應用傳播事件。詳細調查發現，該家族主要使用開源的Telegram Android 源代碼作為其核心功能模板。通過各種策略，包括但不限於刷單、投資推廣和色情聊天，該家族誘導用戶下載並安裝其應用，從而執行欺詐操作。進一步網絡環境探測結果顯示，存在多款與該家族高度相似的活躍應用，進一步證實了這些應用確實屬於同一個欺詐家族。這個家族不僅具有高度的欺詐性和一致性，還擁有一個完整的業務供應鏈。基於上述特點，我們決定為這一欺詐家族命名為“BOOMSLANG（樹蚺）”。

技術分析

從我們獲取的家族樣本中進行溯源分析後，發現該家族最早始於2022 年9 月進行傳播。由於當時疫情等外部因素的影響，該家族在2022 年9 月至2023 年3 月期間處於欺詐傳播的初級階段。然而，隨著社會狀況逐漸恢復，該家族開始大規模傳播，並推出了多個不同業務類型的版本。值得注意的是，為了適應反欺詐措施，該家族在2023 年7 月首次進行了變種，引入了“Domain Over HTTPS（DoH）”技術。隨後，在2023 年9 月，家族樣本再次發生變種，增加了對現有自動化App 安全檢測手段的抵抗能力，具體採用了NPManager 自帶的StringFrog 混淆技術，以規避基於字符串提取的安全檢測。

DoH（DNS over HTTPS）是一種安全協議，用於通過HTTPS 加密的連接進行DNS 解析請求和響應。其主要目的是增加隱私和安全性，防止DNS 請求被竊聽或篡改。

接下來，我們將對該家族的原始版本以及引入DoH 技術的版本進行深入分析。

樣本概況樣本標識马云惹不起马云MD5 Hash:0a731ace7a01349d8c103ad5dc7fc230

功能與行為1.登錄界面：樣本啟動後展示的是一個登錄界面，該界面要求輸入邀請碼以進行登錄。

2.聊天界面：登錄成功後，用戶將進入一個聊天界面。

3.惡意活動：該樣本主要通過聊天功能進行詐騙或其他類型的惡意行為。

分析細節樣本基本面分析

1.權限分析：使用Incinerator 工具打開樣本後，從生成的Report 信息中可以觀察到，該樣本請求了多個高風險的權限。

2.動態檢測結果：

马云惹不起马云包名與子目錄問題：動態檢測結果顯示，在im.lpfupkaehn.messenger包名下的tgnet子目錄中，NetworkConfig.java文件存在明顯的問題。

接下來，我們將詳細分析im.lpfupkaehn.messenger包名的具體表現和潛在風險。

代碼相似度文件與目錄結構马云惹不起马云tgnet 子目錄：在im.lpfupkaehn.messenger的相應目錄下，存在一個明確的tgnet子目錄。

源碼比對马云惹不起马云GitHub 搜索結果：利用該目錄中的代碼進行GitHub 搜索後，發現這部分代碼與Telegram Android 源碼高度相似。

代碼相似性比較马云惹不起马云im.lpfupkaehn.messenger與org.telegram.messenger

多個類文件，如AccountInstance等，在排除反編譯因素後，顯示為100% 相同。

代碼差異分析主要新增部分在該樣本中，基於Telegram Android 源碼，主要有三個顯著的新增部分：

1.依賴庫：

马云惹不起马云位置：主要集中在com目錄下。

马云惹不起马云功能與調用：這些庫基本上都能通過搜索找到其調用處，主要用於處理一些較小的功能。

马云惹不起马云示例：com.alibaba.fastjson庫主要用於處理更新用戶信息的協議。

2.UI 目錄差異：

马云惹不起马云對比：im.lpfupkaehn.ui目錄與org.telegram.ui目錄相比，前者多出幾個目錄。

马云惹不起马云推測：這些新增目錄可能是為了滿足定制UI 的需求而加入的。

3.tgnet 目錄差異：

马云惹不起马云對比：在im.lpfupkaehn.tgnet和org.telegram.tgnet目錄之間進行比較，發現前者多出幾個文件。

马云惹不起马云推測：這些新增文件可能是用於實現特定的網絡通信或功能。

詳細新增類文件分析在該家族樣本中，特別值得注意的是新增了以下類文件：

基礎網絡與文件操作類：马云惹不起马云FCTokenRequestCallback： 可能與Token 請求有關。

马云惹不起马云FileLoadOperation： 文件加載操作。

马云惹不起马云FileLoadOperationDelegate： 文件加載操作的代理。

马云惹不起马云NetBean： 網絡配置Bean。

马云惹不起马云NetworkConfig： 網絡配置。

马云惹不起马云ParamsUtil： 參數工具。

Telegram 後台通訊擴展（TL 系列）：马云惹不起马云TLApiModel： API 模型。

马云惹不起马云TLRPCZ： 可能與RPC 通訊有關。

马云惹不起马云TLRPCBackup： 備份相關。

马云惹不起马云TLRPCBasic： 基礎RPC 功能。

马云惹不起马云TLRPCCall： 通話功能。

马云惹不起马云TLRPCCdn： CDN 相關。

马云惹不起马云TLRPCChats： 聊天相關。

马云惹不起马云TLRPCContacts： 聯繫人相關。

马云惹不起马云TLRPCFriendsHub： 好友中心。

马云惹不起马云TLRPCHotChannel： 熱門頻道。

马云惹不起马云TLRPCLogin： 登錄相關。

马云惹不起马云TLRPCRedpacket： 紅包功能。

马云惹不起马云TLRPCWallet： 錢包功能。

這些新增的類文件主要涉及到網絡操作、文件處理以及與Telegram 後台進行通訊的多個方面。這進一步突顯了該家族樣本相較於原始Telegram 代碼的定制和拓展。

網絡行為分析報告主要焦點：NetworkConfig.java基於自動化分析的結果，NetworkConfig.java文件代碼中存在明顯的問題，因此本次分析將重點關注該文件。

網絡配置更新機制

環境區分：代碼中區分了線上環境和內網環境。只有標識為1002 的是線上環境，需要更新網絡配置。

這裡有兩個關鍵函數initRemoteConnInfos和selecteRemoteConnInfo

關鍵函數分析：initRemoteConnInfos： 主要負責從配置接口https://*************.***-**********.********.***/************.***獲取目標IP 和端口信息。

selecteRemoteConnInfo:使用阿里遊戲盾將目標IP 和端口轉換為代理IP 和端口，達到隱藏實際IP 和端口的目的。

阿里遊戲盾使用邏輯功能介紹：阿里遊戲盾提供了一個免疫DDoS/CC 攻擊的彈性安全網絡。具體來說，它根據提供的目標IP 和端口生成一個動態變化的代理IP 和端口。

挑戰與影響：對於網絡行為分析和惡意程序網絡請求攔截來說，阿里遊戲盾的彈性安全網絡構成了一個嚴重的挑戰。因為代理IP 和端口可以不斷變化，這極大地增加了網絡追踪和攔截的難度。

該樣本利用了複雜的網絡配置和第三方安全服務（阿里遊戲盾）來隱藏其實際網絡行為，從而增加分析和追踪的難度。這些特點進一步證明了該惡意樣本的高度專業性和隱蔽性。 YunCeng.getProxyTcpByDomain的反編譯代碼如下：

根據阿里遊戲盾官方網站上較舊版本的文檔，getProxyTcpByDomain函數的前四個參數表現如下：

函數的後兩個參數則用於返回與輸入目標IP 和端口相對應的代理IP 和端口。在對上述代碼進行進一步分析後，我們發現返回的代理數據最終被傳遞給了ConnectsManager。

我們注意到這是一個native函數。在常規情況下，我們需要逆向分析。 so文件以獲取相應的代碼。然而，由於之前我們已經提到這個樣本代碼與Telegram Android 有很高的相似性，我們決定直接查閱Telegram Android 的源代碼來進行分析。

在這個步驟中，返回的IP 地址和端口號被設置給了ConnectManager 的datacenter 對象，並隨後重新發起了握手過程以建立新的連接。這一操作實現了樣本與雲端網絡通訊的服務器切換。至此，惡意樣本已經成功地通過新的IP 和端口與遠程服務器建立了新的通信通道。

攔截方法：經過詳細分析，我們完成了對樣本主要網絡請求逃逸攔截行為的審查。該樣本巧妙地利用了防DDoS 服務，通過不斷更換請求的IP 地址和端口，有效地規避了傳統的基於固定IP 請求攔截的防護手段。

要全面阻斷這一樣本的網絡請求，需要通過靜態和動態分析相結合的方式，找出樣本是如何利用阿里遊戲盾服務的，並據此攔截相關網絡通信途徑。具體攔截策略可集中在以下三個方面：

1.攔截樣本通過請求阿里遊戲盾來獲取目標IP 地址和端口的網絡請求。

2.如果第一種攔截策略未能成功執行，那麼還需要針對樣本中預設的默認IP 和端口進行攔截。具體來說，應該攔截所有指向****.**.********.***的網絡請求。

3.在灰度測試階段，如果前兩種攔截策略都未能成功，那麼應關注樣本中預設的第三個默認IP 地址，即**.***.***.***。所有指向這一IP 的網絡請求也應被攔截。

這些網絡請求被巧妙地深藏在代碼中，需要綜合應用動態和靜態分析方法才能準確地識別出它們，這無疑給安全對抗工作增加了額外的挑戰和工作量。

家族變種分析在持續追踪此類惡意APP 過程中，我們發現了一種新的變種，其MD5 哈希值為61eea96bae6e53b6806d974cf35877df。這個新樣本做出了一個顯著的變化：它不再依賴於阿里遊戲盾，而是轉向使用了七牛雲的DoH（DNS over HTTPS）服務。具體的使用方式如下：

在這個新的變種中，攻擊者將HOST 中的地址配置為七牛雲的DnsManager 的dnsServer。然後，該DnsManager 負責進行DNS 查詢。這種改變不僅表明攻擊者正在逐漸熟悉和利用更高級的網絡服務，而且也增加了分析和攔截其行為的複雜性。

在這種情況下，樣本通過其自己控制的dnsserver 來動態地更換IP 地址。這種設置使得攻擊者能夠在後端使用類似於阿里遊戲盾的工具，隨機返回不同的代理IP 地址，從而實現真實IP 地址的隱藏。如果DNS 查詢失敗，樣本會回退到預設的IP 和端口，進一步增加了對抗分析的複雜性。這種多層次的網絡行為策略不僅增加了分析工作的難度，也為有效攔截創建了額外的挑戰。