VirtualApp技术黑产利用研究报告

一、前言

VirtualApp（以下称VA）是一个App虚拟化引擎（简称VA）。VirtualApp创建了一个虚拟空间，你可以在虚拟空间内任意的安装、启动和卸载APK，这一切都与外部隔离，如同一个沙盒。运行在VA中的APK无需在Android系统中安装即可运行，也就是我们熟知的多开应用。

VA免安装运行APK的特性使得VA内应用与VA相比具有不同的应用特征，这使得VA可用于免杀。此外，VA对被多开应用有较大权限，可能构成安全风险。

本报告首先简要介绍VA的多开实现原理，之后分析目前在灰色产业的应用，针对在免杀的应用，安全云对此的应对，并给出色情应用作为例子。另一方面，通过对样本分析，展示了VA对于安装在其内应用的高度控制能力，及其带来的安全风险。最后对本报告进行总结。

二、 VirtualApp原理

Android应用启动Activity时，无论通过何种API调用，最终会调用到ActivityManager.startActivity()方法。该调用为远程Binder服务(加速该调用，Android应用会先在本地进程查找Binder服务缓存，如果找到，则直接调用。VA介入了该调用过程，通过以下方式：

1. 替换本地的ActivityManagerServise Binder服务为VA构造的代理对象，以接管该调用。这一步通过反射实现。

2. 接管后，当调用startActivity启动多开应用时，VA修改Intent中的Activity为VA中己声明的占位Activity。这一步的目的是绕过Android无法启动未在AndroidManifest.xml中声明Activity的限制。

3. 在被多开应用进程启动后，增加ActivityThread.mH.mCallback的消息处理回调。这一步接管了多开应用主线程的消息回调。

在以上修改的基础上，多开应用的Activity启动过程可分为以下两步骤：

步骤一修改Activity为己声明的StubActivity

步骤二 mCallback从Intent中恢复Acitivty信息

AMS：Android系统的ActivityManagerService，是管理Activity的系统服务

VAMS：VA用于管理多开应用Activity的服务，大量API名称与AMS雷同。

VApp：被多开应用所在的进程，该进程实际为VA派生的进程。

由图可知，VA在AMS和VApp中通过增加VAMS对启动Intent进行了修改，实现了对Android系统的欺骗，而当应用进程启动后，还原Activity信息。通过自定义Classloader令使得Android加载并构造了未在VA的AndroidManifest.xml中声明的Activity。

以上是启动过程的简化描述，实际上，VA对大量Android 系统API进行了Hook，这使得运行在其中的应用在VA的控制下，为VA的应用带来可能性。

三、在灰色产业的应用

3.1 免杀

VA等多开工具将Android系统与VA内的应用隔离，使得应用的静态特征被掩盖，目前己有恶意应用使用VA对自身重打包，重打包后的应用包名、软件名与原应用不同，从而实现免杀。安全云使用动态检测关联恶意应用和VA的方式应对该免杀技术。

免杀的常见做法是：恶意应用加密后打包在VA内，由VA在运行时解密APK，将恶意应用的APK安装到VA内并运行。

经过打包后，VA用的包名、证书可以与恶意应用不同，资源文件、二进制库文件与恶意应用相互独立。基于包名、证书等特征维度的静态检测方式的准确性受到影响。

如图，当静态引擎对VA应用检测时，获得的应用信息（包名、证书、代码等）是VA的信息，没有恶意特征。而当VA运行时，可以解密恶意应用APK，通过反射等技术欺骗Android系统运行未安装在系统中的APK，实现了免杀。

传统静态检测方式

针对该免杀方式，安全云的APK动态检测实现了VA内应用APK的自动化提取，可将VA母包与恶意应用APK子包进行关联查杀。

如图，动态引擎安装并启动APK，当识别出是VA应用时，提取出VA内的己解密的子包，对提取的子包进行检测。根据子包检测结果综合判定母包安全性，并对母包的安全风险进行标记查杀。

动态检测查杀示意图

免杀案例色情应用

2017年8月以来，安全云监测到部分色情应用使用VA的对自身打包，以达到绕过安全检测的目的。这些应用使用了随机的包名和软件名，并且均对恶意应用子包进行了加密。部分包名如表所示：

从动态检测引擎提取的子包看，一个色情应用子包对应的带VA壳的母包（SHA1维度）数量从1到529不等。27个色情APK共对应1464个VA母包。

该类应用会以各种理由诱导用户升到更高等级的VIP不断支付：

读取用户短信收件箱：

并且可以通过远程服务器控制应用是否运行，控制支付宝和微信支付的开启以逃避支付平台打击：

目前该类色情应用的VA母包和子包均己被标记为灰色。

3.2 重打包

相较于以往反编译后插入代码进行打包编译的方式，使用VA进行重打包具有以下优点：

1. 不需要对原应用进行反编译修改。

由于VA是多开工具，这一优点是显然的。传统的重打包方式是对应用进行反编译成Smali代码，对Application类或Activity进行修改，插入广告展示等代码，再重编译打包回去。而VA重打包的应用只要让应用运行在VA内即可。

2. 有效规避重打包检测

应用可能通过检测签名、包名等方式检查是否被修改。而VA对Android系统的API进行了Hook，其中包括PackageManager的API，这些API用于获得包括签名在内的软件包信息。

3. 通用性强

同样的VA代码未经修改就可打包众多应用，可批量制造多开应用。

4. 功能众多

由于应用运行在VA进程内，VA代码具有与应用等同的权限，从下面的例子可知VA能做到包括但不限于：模拟点击、截图、在Activity创建时插入广告。以

以某一类重打包样本为例，应用被重打包后启动界面增加一个插屏广告，如图：

点击插屏广告后，将下载对应的应用（图中为“斗地主”及”炸金花”）并安装到VA中，并在桌面添加图标。区别于其他应用推广方式，此种方式安装的应用不必通过Android的包管理器进行安装，必要时也可静默安装。

除了增加启动时的插屏广告，该应用还有以下行为

1. 检查反病毒软件

检查手机上是否安装了反病毒软件，如果存在，则不连接服务器获取命令。

反病毒软件列表由服务器下发：

内容如下：

主流的手机安全应用如30、QQ手机管家、LE安全大师等均在该列表中。

如果存在，则不连接服务器读取命令脚本：

2. 启动应用

可由服务器下发指令控制运行VA内的指定应用：

3. 模拟点击

可对运行在VA内的应用进行点击。

1) 当VA内应用启动时注册Broadcast Receiver：

2) 接收服务器脚本，发送广播

3) 执行点击脚本

（1）获得DecorViews，该View为Android应用的底层View。因为被多开的应用跑在VA内，因此VA有权限对应用类进行操作。

（2）对(1)获得的View，调用View.dispatchTouchEvent()模拟触摸操作，支持的操作有，ACTION_DOWN（按下）、ACTION_MOVE（按下和抬起之间的操作）、ACTION_UP（抬起）。

（3）值得注意的是，只有当用户不存在（未点亮屏幕，未锁屏）时，服务器的任务才会执行：

4. 部分版本可对应用界面进行截图

实现方式与模拟触摸操作类似，先获得DecorView，之后调用Android系统提供的方法进行截屏：

对广播进行响应，并保存截图：

相应的上传截图功能：

5. 在Activity创建时显示广告

VA对Activity的生命周期函数进行了Hook，因此可以方便地在Activity调用onCreate函数时显示广告：

6. 上传设备信息

包括设备的型号、Android Id、分辨率等信息。

7. 上传己安装应用列表

3.3 免Root Hook

VA可在应用Application类创建时执行代码，这些代码先于应用执行。通过结合Hook框架（如YAHFA、AndFix）、VA可以方便对应用进行Hook，其Hook能力与Xposed框架等同。与Xposed框架比较如表所示：

相较于Xposed框架，通过此方式Hook具有如下优点：

1. 不需要Root权限

2. 不需要重启系统就可以重新加载Hook代码，重启应用即可

3. 可与Native Hook框架结合，Hook二进制库。实际上VA本身己使用Native Hook框架对应用的IO操作进行了重定向

VA的免Root Hook能力对于被多开应用是一种安全威胁。VA可做到的包括但不限于：

1. Hook密码相关函数，截取用户输入的密码

2. Hook网络通信函数，监听网络通信

3. Hook Android API。伪造Android设备信息、GPS定位记录等。

下面分析某微信抢红包应用，以展示VA免Root Hook的能力。

该样本是一个微信抢红包应用。目前流行的抢红包功能实现上有两种方案，一种是通过Android AccessiblityServices监测用户窗口，当红包关键字出现时，点击对应的View对象；一种是使用Xposed框架对红包相关的函数进行Hook，这种方案需要Root权限，但是不必打开微信界面即可抢红包。此应用抢红包也使用Hook红包相关函数的方式，但是不需要Root。

1. 注入代码

VA实现了插件化的注入模块，其中一个注入模块为FixBug_AppInstrumentation，该模块替换了ActivityThread的mInstrumentation对象：

mInstrumentation对象会在应用Application类及Activity类创建时被执行相应的回调，该应用了修改了其中一个回调callApplicationOnCreate，在Application执行了红包代码：

其中LuckyMoneyDispatcher为红包功能模块。

函数LuckyMoneyDispatcher.andFixForLuckMoney()实现了方法替换：

使用开源热修补框架AndFix替换com.tencent.mm.booter.notification.b.a()为LuckMoneyMethProxy.a()，并将被替换函数保存为LuckMoneyMethProxy.aOriginal()。

2. 模拟点击红包消息

LuckMoneyMethProxy.a()为替换后的函数，当微信接收到消息时被调用。

函数先判断消息类型，当确定是红包（436207665）后，解析消息，构造Intent并发送。这一步模拟了点击红包消息时的弹窗。

3. 模拟拆开红包

上一步的弹窗是一个Activity，当弹出时（对应Activity的onResume），mInstrumentation将被回调：

onLuckyMoneyResume根据版本号确定要反射调用的“拆开红包按钮”（包括BUTTON_OPEN、OBJECT_OPEN、METHOD_OPEN）

最终由MonitorHandler反射调用拆开红包函数：

四、总结

VirtualApp作为开源的多开应用框架，可以被任何人使用。它在Android系统和被多开应用间增加了中间层。这带来了两方面问题，一方面，VA可掩盖应用的静态特征（包名、证书、资源文件、代码等），使得单纯的静态检测方法失效，应用具有了一定免杀的能力。同一个恶意应用可以有众多VA母包，且母包不包含恶意特征，这给检测引擎识别恶意应用带来了难度。安全云通过动态检测在VA母包运行时动态提取VA应用中的子包，并结合子包的恶意情况对母包的恶意情况进行综合判定，可有效对恶意应用的VA母包进行标记查杀。

另一方面，由于多开应用运行在VA中，VA对被多开应用具有不弱于Root的权限，可方便有效介入应用运行流程。例如：当应用运行时展示广告，对多开应用进行截屏、模拟点击。更进一步的，VA可通过Hook修改应用的执行流程，获得应用的隐私数据，包括但不限于密码、与服务器的数据通信、照片等。应用应当对运行在VA或其他多开应用内的带来的安全风险有所了解并加以防范，特别是金融、通讯类应用。

安全云己对相关VA应用进行监测，并及时对新型安全威胁作出响应。