Google 披露一家供應商的供應鏈攻擊導致惡意軟件被預裝在數(shù)百萬臺 Android 設備上。Google 并未明確列出為此事負責的人，但表示存在問題的供應商叫 Yehuo 或 Blazefire，本文深入研究了該中國供應商的身份。

　　Yehuo 對應普通話野火，這家有問題的供應商在同一實體使用的兩個公司名中都使用了 Blazefire 和 Wildfire。

　　通過搜索可以在中國軟件開發(fā)者網(wǎng)絡中發(fā)現(xiàn)使用相同名稱并提及域名 blazefire.com 的賬戶。更多的線索指向 gamerbbs.cn 上的用戶 Yehuo，該用戶發(fā)布了一個名為小小軍姬的手機游戲，并提供了在 blazefire.com 的下載地址。

　　通過 domaintools.com 對 blazefire.com 歷史記錄的研究，該域名 2015 年被 tosaka1027@gmail.com 注冊，隨后分配給一家名為上海野火網(wǎng)絡科技有限公司。

　　該公司提供“移動設備預裝業(yè)務和廣告推廣服務”。該公司的描述性介紹表示其預裝合作伙伴覆蓋整個手機產(chǎn)業(yè)鏈，包括芯片制造商、設計公司、手機制造商、手機代理、應用商店與電子商務平臺。

　　通過對 tosaka1027@gmail.com 相關(guān)線索發(fā)現(xiàn)，該地址被用來注冊24 個域名。其中至少 7 個域名與傳播的 Android 惡意軟件有關(guān)。

　　注冊域名中，elsyzsmc.com 與 rurimeter.com 與 Triada 惡意軟件的傳播有關(guān)。Triada 被發(fā)現(xiàn)已經(jīng)預裝載許多設備中，并用于安裝顯示廣告的垃圾郵件程序。

　　2017 年 7 月，俄羅斯安全廠商 Dr.Web 表示Triada 預裝在至少四款低價 Android 機型上。到了 2018 年，Dr.Web 發(fā)現(xiàn)Triada 擴大了覆蓋范圍，安裝在了 40 種不同型號的 Android 設備上。

　　另外五個與 tosaka1027@gmail.com 相關(guān)的域名：99youx.com、buydudu.com、kelisrim.com、opnixi.com、sonyba.com 被認為早在 2016 年就與 Hummer 木馬的傳播有關(guān)。Hummer 木馬是一個強大的 Android 惡意軟件，經(jīng)常與游戲捆綁在一起，控制受感染的設備。

　　在 domaintools 上檢索與該公司（Shanghai Blazefire Network Technology Co）相關(guān)的記錄。如下所示，得到共計 11 個域名，其中包括 blazefire.net，注冊郵箱是 yehuo@blazefire.net。

域名	創(chuàng)建時間	注冊商
2333youxi.com	2016-02-18	ALIBABA CLOUD COMPUTING (BEIJING) CO.， LTD
52gzone.com	2012-11-26	ALIBABA CLOUD COMPUTING (BEIJING) CO.， LTD
91gzonep.com	2012-11-26	ALIBABA CLOUD COMPUTING (BEIJING) CO.， LTD
blazefire.com	2000-08-24	ALIBABA CLOUD COMPUTING (BEIJING) CO.， LTD
blazefire.net	2010-11-22	ALIBABA CLOUD COMPUTING (BEIJING) CO.， LTD
hsuheng.com	2015-03-09	GODADDY.COM, LLC
jyhxz.net	2013-07-02	—
longmen.com	1998-06-19	GODADDY.COM, LLC
longmenbiaoju.com	2012-12-09	ALIBABA CLOUD COMPUTING (BEIJING) CO.， LTD
oppayment.com	2013-10-09	ALIBABA CLOUD COMPUTING (BEIJING) CO.， LTD
tongjue.net	2014-01-20	ALIBABA CLOUD COMPUTING (BEIJING) CO.， LTD

　　根據(jù)上述線索，我們可以發(fā)現(xiàn)野火是一個具有多個業(yè)務部門的龐大實體。例如 2333youxi.com 是上海千游網(wǎng)絡科技有限公司所屬的域名，該公司稱其“致力于互聯(lián)網(wǎng)手機游戲的開發(fā)與運營”。與域名 blazefire.com 一樣，2333youxi.com 最初也是由 tosaka1027@gmail.com 注冊，不久所有權(quán)變更到野火公司。

　　上海千游網(wǎng)絡科技有限公司的辦公室位于上海市虹口區(qū)歐陽路 196 號 10 棟 6 層 344 室，就在上海野火網(wǎng)絡科技有限公司的附近，后者位于上海市虹口區(qū)歐陽路 196 號 10 棟 6 層 35 室。

　　域名 tongjue.net 是上海銅爵網(wǎng)絡科技有限公司所屬的域名。根據(jù)其營銷描述，上海銅爵網(wǎng)絡科技有限公司與上海全有網(wǎng)絡科技有限公司相鄰，位于上海市虹口區(qū)歐陽路 196 號 10 棟 6 層 36 室。

　　銅爵網(wǎng)絡科技有限公司在 2016 年的招聘廣告中表述自己“已經(jīng)發(fā)展為大型國內(nèi)無線互聯(lián)網(wǎng)網(wǎng)絡應用，主要從事手機預安裝業(yè)務”。招聘的崗位是客戶端軟件開發(fā)，要求描述期望應聘者具備 Windows 木馬、病毒或游戲插件的相關(guān)知識。這一崗位的職責包括：

打破制造商對手機的限制

研究掌握 Android 操作系統(tǒng)

逆向分析研究安卓手機

研究 anti-brushing 技術(shù)并提供 anti-anti-brushing 的措施

　　誰是野火？

　　上述提到的很多域名在注冊記錄中都提到了 Hsu Heng，電子郵件地址為 yehuo@blazefire.net。根據(jù)網(wǎng)絡情報公司4iq.com 對過去多次數(shù)據(jù)泄露中暴露的密碼和電子郵件地址的分析，野火的負責人昵稱為 Hagen 或 Haagen，并且使用電子郵局地址 chuda@blazefire.net。

　　在中文游戲新聞網(wǎng)站 Youxiguancha.com 上，使用普通話搜索 chuda 一詞，可以找到 2016 年的一篇文章，文章中披露了大量野火員工與辦公室的照片。該文中也將野火的聯(lián)合創(chuàng)始人兼 CEO 稱為 Chu da。該 CEO 兼有運動（巴薩鐵桿球迷）和文藝做派（彈得一手好吉他）。憑借 2015 年帶領(lǐng)野火團隊和野火產(chǎn)品線高速擴張的表現(xiàn)，楚達收獲了硬核聯(lián)盟首屆黑石獎頒發(fā)的十大新銳 CEO 榮譽。

　　有趣的是，注冊人 Chu da 出現(xiàn)在 longmen.com 的歷史記錄中，longmen.com 也許是該公司最古老、最成功的手游。從 2015 年 4 月開始，該記錄將其電子郵件地址變更為 yehuo@blazefire.com。

　　目前尚不清楚 Chuda 是否為 CEO 的真名，還僅僅只是昵稱。該公司的副總裁被稱為 Hua Wei，可能是真實姓名也可能是華為的化名。根據(jù)天眼查的數(shù)據(jù)，Chuda 還是其他六家公司的高級主管。關(guān)于此次事件 Google 拒絕評論，該公司對此也沒有回應。Google 會恰當?shù)靥幚泶耸拢O果用戶仍然可以通過 iTunes 商店下載該公司開發(fā)的應用程序。

　　*參考來源：KrebsonSecurity，F(xiàn)B 小編 Avenger 編譯，轉(zhuǎn)載請注明來自 FreeBuf.COM

總結(jié)

以上是生活随笔為你收集整理的谷歌跟踪Android供应链安全的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。