VirtualApp（簡稱：VA）是一款運行于Android系統的沙盒引擎框架產品，可以理解為輕量級的“Android虛擬機”。VA具有免安裝、多開、內外隔離及對于目標App完全控制的能力。VA從表現形式上屬于動態加載，但是從技術本質上來說是通過增加VAMS對啟動Intent進行修改，攔截和代理Android系統消息，并且通過自定義的ClassLoader加載和構造未在VA的AndroidManifest.xml中聲明的組件，以達到對目標App的控制效果。

在應用運行時通過動態加載消息代理技術，作為一項在Android系統上已經可以成熟使用的手段，除了在VA虛擬引擎框架中，目前也廣泛應用在熱更新、應用加殼和應用動態保護等功能中。正常使用VA虛擬引擎技術一般是為了實現輕量級版本快速迭代、功能更新、bug修復和特定安全防護，但是惡意和流氓應用使用該技術一般是為了逃避安全檢測，延長生命周期，獲取更大的利益。

無論是動態加載的插件化技術，還是基于VA的虛擬化引擎技術，從安全屬性上而言，都在一定程度上挑戰了Android系統的安全要求，谷歌和蘋果對上架應用都有對應的規定——禁止使用動態加載功能。雖然如此，仍然有大量開發者對VA技術有需求，例如Android平臺上的雙開應用，以及Windows平臺上的Hook機制和多款成熟虛擬機軟件，都被用來滿足開發者的應用開發需求。可見這種技術本身也是具有兩面性的，我們需要客觀看待。

安天移動安全從2016年開始持續加強了對VA相關技術和應用的關注，并在VA類樣本分析、檢測等方面也有了不錯的成果及獨特的見解，并對基于VA惡意及非惡意樣本傳播情況進行了統計，如圖1所示：PHP大馬

?

圖1 VA惡意及非惡意樣本傳播情況

從圖1的數據上看，VA技術從誕生開始，整體上非惡意的應用數量就偏少，一直在一個較小范圍，而黑產對于該技術的采用則激進很多，在前期就大幅增多，后期則隨著惡意代碼規模的減少而減少。

?

?

?

VA技術帶來的安全風險

VA技術目前也有用于正常用途的，比如部分游戲愛好者擁有多個賬號，部分白領由于工作原因需要對于個人社交軟件和工作用戶社交軟件進行隔離，這一類的需求一直很旺盛。

但是VA實際上也會給運行在VA中的App帶來不可忽視的安全風險，即App的運行環境完全被VA控制，安卓的沙盒隔離機制被突破，并導致不必要的攻擊入口和風險面暴露。

VA技術動態加載可以在運行時動態加載，并解釋和執行包含在JAR或APK文件內的DEX文件。外部動態加載DEX文件的安全風險源于：Anroid4.1之前的系統版本容許Android應用動態加載存儲在外部目錄中的DEX文件，同時這些文件也可以被其他應用任意讀寫，所以不能夠保護應用免遭惡意代碼的注入；所加載的DEX文件易被惡意應用替換或者注入代碼，如果沒有對外部所加載的DEX文件做完整性校驗，應用將會被惡意代碼注入，那么攻擊者編寫的任意惡意代碼將會被自動執行，從而進一步實施欺詐、獲取賬號密碼或其他惡意行為。

?

?

VA技術帶來的現實威脅

VA技術是在虛擬空間中安裝、啟動和卸載APK，是應用級的虛擬化技術，VA中運行的惡意應用軟件可以逃避殺毒軟件的靜態檢測，VA框架也被黑灰產用于開發多開工具、改機工具、搶紅包工具等方式實施惡意行為。VA框架上運行的插件應用程序也被引入了代碼修改風險，重打包的應用程序存在隱私泄露、被植入廣告等危害。下面我們將詳細分析VA技術帶來的現實威脅。

（一）作為灰產工具的應用

1.1作為多開工具的應用

VA創建了一個虛擬空間，使用者可以在虛擬空間內任意的安裝、啟動和卸載APK，因此產生了大量的多開工具。

多開工具一直倍受微商、刷量工作室、羊毛黨的青睞。通過明碼標價，服務于意向商家，以低成本甚至零成本換取了高額利潤。表1即是部分用于電商、微信的多開工具。

表1：電商、微信的多開工具

Hash	包名	程序名
63BD3248BB978A69B76E076F0746D0EC	com.wangniu.locklock	應用多開大師
DF*FBF675D1B0532C34ED6FB9DA0B92	com.zhushou.weichat	微信多開助手
D01DC1B2E080E4B394EE60CBA378165C	com.hanyuejian.multrun	超速多開助手
A08B0875E875B95999E34BA94003C3DE	club.vxv.virtual.wechat10	V多開10
30673CEAF050073A78E4FEB6AE4B1970	com.boly.opentreasure	多開寶
48A6C69924DC346ED0BB6754A42444B2	com.jtjsb.weishangdkxh	微商多開小號
275EA224E40727E93B97A2E2883D3B3D	com.xzj.multiapps	多開分身虛擬定位
3BC13D2F0D980748DA204B549A089B77	com.ssapk.smartapp	qq多開-陌陌多開
4AE9E6B63E762F541BE0028610034477	com.leaves.mulopen	多開虛擬精靈

1.2作為改機工具的應用

開發者利用VA自帶的J*A層Hook，開發了改機工具，包括修改設備參數，虛擬定位等工具。

以虛擬定位工具為例，該應用通過遙感設置虛擬位置，能夠實現虛擬定位的功能，應用運行截圖如圖2、圖3、圖4所示：

詳細的流程如下：

（1）安裝需要定位應用

（2）設置虛擬位置

輸入位置信息，通過百度地圖獲取對應經緯度信息。

接收定位信息，設置目的位置。

（3）實現定位功能

獲取虛擬數據，通過加載包com.lody.virtual.client.hook.proxies.location實現虛擬定位功能。

1.3作為搶紅包工具的應用

?

目前流行的搶紅包功能實現有兩種方案，一種是通過Android AccessiblityServices監測用戶窗口，模擬點擊，一種是利用Xposed框架對紅包相關的函數進行Hook，第二種方案需要Root權限，但是不必打開微信界面即可搶紅包。VA提供了免Root Hook能力，通過使用開源熱更新框架替換函數，實現自動搶紅包功能，下圖5為利用VA的搶紅包工具。

圖5?利用VA的搶紅包工具

?

?

該紅包工具通過框架AndFix替換系統函數，模擬點擊紅包消息、拆紅包。

模擬點擊紅包消息代碼：

拆紅包代碼：

（二）協助惡意樣本逃避靜態檢測（即免殺）

?

由于VA的特性，大量惡意應用通過將功能包加密存儲在VA內，實現動態調用。傳統的靜態檢測皆是對應用的包名、證書、代碼等進行識別，在檢測VA應用時，識別的則是VA的信息，沒有惡意特征，因此躲避了查殺。

對于庫內VA樣本進行篩選，發現大量色情應用使用VA特性繞過檢測，部分應用如下表所示。

表2：部分色情應用的信息

Hash	包名	程序名
39A7DFBF54AEE118676B76631EEA87C7	PiJtpy.FSo.JCUYSz.EsX	極A品M快eN播
163AFD77B90FED5EA329DD9382415882	Ba.NA.Nj.EnZR.gtraVx	極Tr品qq快x播
3A7FF222EFD71B4D9EFCC38D62FBBA22	ryowpq.ZWJ.BlpA.Qd.MA	極nWk品d快iU播
2CD06A50F81D040A4332DC78707B952C	vss.AfjN.hEfi.zzEO	9t1atTbmoV
7C*DB8C701571C*6D089366260CB78	CXs.UbxEPk.aAnE.rXS.Ue	極G品W快Ldv播
F5487B8119524D56B80C62A57D33821F	mk.EjNb.wrGgb.hM	極BH品Jgs快Gd播
1B75C8A259BE16F87A44E64B0133E648	FeLkj.RgHuMG.HM.rKtf.XaAIs	極l品tH快Zm播
FA70E42DCDED167392D0A689FA40A795	LfCrW.ytu.DU.py.LdL	極Mh品Tge快vYB播
F17F38CB8E6E3A12D0944654AF743F14	STy.je.iDB.lASpKL.XEVJ	極zh品F快Gx播
7CC669371A5BC665333F1E4BF0AC87E7	kbl.dia.ku8	Space Cleaner
2485160BCEA22DA143DEC3ED85A10B61	ax.GP.tLX	9jBg1sCTCNJV

大量不規范應用偽裝成游戲應用，利用下載惡意吸費。該類應用都經過了VA處理，部分不規范應用的信息如下表所示。奇熱影視

表3：經過VA處理的部分不規范應用的信息

Hash	包名	程序名
B73ED49A0EB81E57CE4BDD7F72B2F54B	com.F2V8X14M92D	速度與激情8:微端
A1C29740AADF18BC7B009B0A*0F6938	com.B28MRZ1NWMZH	同一個世界:微端
BEB72E838E49D6C6A0E64F240716906A	com.UG11QW5Y3K4	夢想三國:微端
713672C6C7E645325B52077FF883887A	com.NCI3PUW263	街頭籃球:微端
EB9ECBCE0A039FA5B11000F2899204F5	com.U0Z7JU1DX349952	滾蛋吧腫瘤君:微端
56B7CFC8C3FE136DB7CA949B091E6A46	com.N875MO9H1982P	寵物王國:微端
7E134A076FF8DE2263ADADE7C228A9F1	com.CJB959608DP17I8	湯姆貓跑酷:微端
675232305C3C75B250E839D9BA1E16D0	com.JV6R6XY26S2	割繩子2:微端
17768126040DC3533CCCE0440F36C1C8	com.PV411PNTI8	登山賽車2:微端
B*49074CB832BC2FF805FDA3003CA77	com.C3N0221Q0HH314	暴擊僵尸:微端
968C6498E6D162856C7BB11361276CD2	com.RAY6NMD0S2Y60T	消滅星星:微端

（三）為APP提供運營環境（即重打包）

?

3.1基于VA環境的隱私竊取

VA代碼可以不通過修改代碼即重打包應用，且自帶免Root Hook能力，繞過重打包檢測的同時，實施惡意行為。以Trojan/Android.twittre家族為例。

通過VA啟動Twitter，Twitter啟動后，修改后的VirtualCore模塊Hook了EditText類的getText函數，從而在Twitter登錄窗口劫持用戶的輸入，竊取用戶的登錄憑證。

3.2基于VA環境的廣告植入

由于應用運行在VA環境下，因此很多重打包應用會植入廣告部分。

以某類重打包應用內嵌廣告為例。

（1）內嵌廣告結構：

（2）監聽應用安裝，啟動廣告服務：

（3）上傳設備固件信息，請求廣告：

（4）下載應用，判斷“adType”，通過VA安裝該應用：

?

?

VA檢測及防范措施

通過分析，可知VA技術在實現雙開或其他模板時破壞了安卓的沙盒隔離機制，并且讓用戶產生因為和系統隔離而帶來的安全感，需要知道的是這種技術性隔離也是從事實上拒絕了系統原生安全機制，并引入了新的風險以及運營成本，同時VA技術也給系統帶來了不小的安全隱患，無法檢測惡意實體、母體權限過大、安裝繞過、繞過市場監管等是目前無法進行有效防護的主要因素。在VA安全防范方面，應確保所加載的DEX/APK文件的傳輸通道和存儲位置安全，或者對加載源進行完整性校驗和白名單處理。

在VA檢測技術方面，自2016年下半年以來，安天移動安全持續對手機雙開應用進行標定。無論是VA類的惡意樣本，還是常規惡意樣本，安天移動安全都進行了有效的對抗，基于自動化預處理平臺，可以對未知樣本進行細粒度的解析，生成對應的結構化中間件結果，并利用前置引擎進行有效降維，為后期樣本分析和科學研究產生高價值數據。安天移動安全檢測框架則從不同維度對未知樣本進行檢測，從證書、符號、操作碼等常規檢出維度上升到文件結構以及自定義向量等高維層次進行計算，有效保持在移動惡意代碼處置上的競爭力。安天移動安全也正在持續加強同國內一線終端廠商深入合作，通過融入系統底層安全機制，為上層應用生態提供原生級的安全防護能力。

?

?

安天移動安全引擎技術體系助力打通產學合作

?

安天移動安全長期與高校展開產學合作，本著“以理論突破技術發展，以技術反哺理論創新”的思路，致力在移動終端惡意代碼檢測技術領域研究出新的成果。武漢大學史鹿曼、傅建明等人發表的《“Jekyll and Hyde” is Risky: Shared-Everything Threat Mitigation inDual-Instance Apps》論文，成功被第17屆ACM移動系統、應用和服務國際的會議（簡稱MobiSys 2019）收錄，該論文針對雙開應用程序創造性地提出了新的惡意VA檢測方法，安天移動安全為該論文研究提供了豐富的惡意樣本分析訓練數據和分析檢測模型支持。

圖6 MobiSys2019會議

?除了VA類的惡意樣本，安天移動安全對各種隱私危害、不良不規范和惡意類型的移動惡意樣本有著深刻的認知和技術積累，并形成了完整的自動化預處理平臺和不同的安全檢測框架。歡迎高校、研究機構或企業單位與我們一起探討移動惡意代碼檢測分析難題。

總結

以上是生活随笔為你收集整理的VirtualAPP技术应用及安全分析报告的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。