预装木马的安卓平板正在销往全世界

双11购物狂欢节激战正酣，许多朋友都在各大电商上搜刮早已心仪的商品，但此时，却有一波“木马”悄然来袭。

近日，猎豹移动安全实验室发现了一个危险系数较高的木马，该木马被称为Cloudsota。研究发现：该木马是一开始是被预装在一些Android平板上。而从目前的情况来看，遭受该木马感染的平板依然放置在亚马逊的购物架上，并且处于销售状态。

发现之路：起于受害用户的抱怨

通过对收集的信息进行分析，该木马其实已经存在有一段时间了，而其间也有不少受害用户一直在 XDA、TechKnow等网上交流论坛上寻求帮助。

而在亚马逊上也发现了一些购买了平板的用户的抱怨。

恶意行径：Cloudsota木马伸出了恶魔之手

经过分析发现，Cloudsota木马能够远程控制受感染的设备，可在在未经用户允许的情况下，进行带有目的性的恶意操作。

安全专家目前经过分析及研究，已经检测到Cloudsota的主要行为轨迹。

首先，它可以直接将恶意广告软件或者其他的恶意软件安装到设备上。同时在初始阶段，该木马会先将杀毒应用卸载掉，从而方便进行其他的恶意操作。我们也发现，在root权限下，它不但能够自动打开所有安装在设备上的应用，而且经过检测，该木马会将开机动画和壁纸都替换成广告。和众多恶意广告软件一样，Cloudsota还会将浏览器的默认主页篡改，并重定向到一个广告页面上，绑定用户进行浏览。

影响：超过153个国家地区的用户受到影响

根据我们初步的估算，至少有17,233台受感染的平板被线下的用户购买，并已经通过物流交付到用户手中。该数据的估算是基于猎豹移动收集的匿名数据。而由于目前许多平板是不受杀毒应用的保护，实际上感染设备的数量可能比我们预计要多得多。

其中最让我们担心的是，这些平板电脑在许多电商平台都有出售，不乏零售巨头，像亚马逊。

从当前的情况来看，显然大多数人都不知道cloudsota的潜在风险和破坏性，而在这里，必须提醒广大用户，可以说，这是一个定时炸弹，随时都有可能威胁个人隐私和财产安全。

根据跟踪研究发现，目前有超过30个品牌的平板被预装了该木马，而相对于大型品牌的平板电脑，影响最大的是一些小众品牌的平板。据统计，超过4000台受影响的小众品牌平板已经被出售到全球各地。

目前我们已经告知了被发现预装该木马的各大品牌平板公司。同时，我们也在反馈中，建议这些制造商能够仔细研究分析其系统固件，但很不幸，截止到目前为止，没有厂商回应此事件。

在遭受该木马感染的超过153个国家和地区中，美国、墨西哥和土耳其的情况是最为严重的。

我们可以在网上看到许多用户纷纷在亚马逊上评论，抱怨设备经常出现广告和弹窗。而根据对收集到的信息进行统计，发现这些预装该木马的平板都有一定的相同之处，就是所有的这些平板，它们的价格都是比较廉价的，并且可以追溯到它们的制造商其实出自于一些不知名的小型车间。下面是一个不完整统计的在亚马逊上疑似预装木马的品牌列表：

而当我们也发现一个有问题的平板电脑后，我们随即发送了通知给到亚马逊，阐述了目前发生的问题。我们也相信，亚马逊可以通过其客户的投诉和评论来证实我们的信息。

反编译：对木马Cloudsota的技术分析

许多用户反映说，他们的平板被锁定为演示模式，并且在屏幕上一直会出现一个红色的“Demo”。而根据我们的分析，其实该情况（即出现红色的“Demo”）并不是由木马Cloudsota引起的。实际上，该红色“Demo”源于系统组件package-SystemUI.apk。我们发现，当设备开机的时候，在SystemUI.apk中的恶意代码便会执行，它的目的是检查com.clouds.server （即为Cloudsota）是否被安装在平板上，如果没有的话，它会尝试进行安装。而进一步，如果安装失败，那么就会出现上述的情况，一个大大的红色“Demo”出现在屏幕中间。以下是部分代码信息，

（一）重新启动后的恢复机制

我们发现即使移除了该木马，它在设备重新启动之后又会再次出现。原来，该木马是嵌入到 boot.img /cloudsota/CloudsService.apk中，这样使得该木马能够在用户重启设备之后进行自我恢复。这样看来，该木马是相当难缠的。我们可以从下面的脚本中看到，每一次重启设备之后，init.rc脚本都会重新恢复木马。

恢复木马的代码段：

（二）篡改浏览器主页

当用户开启设备时，为了获取篡改的操作指令，Cloudsota会频繁地与外部服务器进行通信（约每30分钟一次），篡改浏览器主页的指令如下所述：

在这过程中，我们也截获了一些数据：

请注意该网址：cloudsota.com

（三）静默安装Apps

跟篡改浏览器主页相似，cloudsota也会从云端的服务器获取一个apps列表，然后直接在用户的设备上静默安装。根据目前的分析和调查，一般来说，用户是很难移除这些apps的。具体执行的部分代码段如下，

我们获取到该木马执行的一些信息，如下

http://download.cloudsota.com/apk/ota/1438999935/CalendarService.apk

http://download.cloudsota.com/apk/ota/1440569351/CloudsService.apk


http://download.cloudsota.com/apk/DSB/393/dsb_aijian2.apk


http://download.cloudsota.com/apk/MopoPlay/4314/MopoPlay.apk

http://download.cloudsota.com/apk/maxthon/2915/hgnormal_remote_master.apk

（四）其他检测到的行为

该木马也可以进行以下操作：

1、更改设备的启动动画（在每一次启动后，用户都会看到烦人的广告！）；
2、卸载设备上的应用程序（主要卸载设备上的杀毒应用和应用于保护设备的root 工具）；
3、将广告设置为壁纸（每次点击Home键的时候，又是极其烦人的广告！）；
4、打开设备上的任何应用程序；
5、创建广告弹窗。

以上是经过分析，我们获取到的该木马的主要行为轨迹。那到这里，我们是不是有点明白了为什么这些平板会这么便宜呢？

攻击者很可能来自中国

我们目前也已经有了初步的证据证明，该Cloudsota木马的幕后操纵者是来自中国，主要的判断依据如下：

1、从我们提取的木马链接来看，在WHOIS上面对www.cloudsota.com进行查询。从查询结果看，服务器是在深圳注册的。

显示的部分信息如下，

所有者: QIU BIHUI
注册地址：宝安区西乡
注册城市：深圳
注册省区：广东省
邮政编码：518101

其他的信息包括一些联系方式就不在这里多提了。

2、大部分代码注释都是用中文写的。

3、平板的制造厂商来自中国

解决办法与建议

对于拥有感染设备用户：我们在博客中有移除的办法可供参考，请移步 manual removal instructions进行详细了解。

对于电商平台：我们建议应该更加严格地去审核产品供应商，这也是对消费者的负责。

在分析报告中，我们从下面的网站和机构中获取了一些原始数据进行参考，非常感谢他们的支持！