9月20日,火绒安全通过官方公众号发布安全警告,监测到一款专门劫持浏览器主页的病毒正在快速传播。根据技术溯源,该病毒传播源头直指搜狗输入法的云控系统。
文章披露,搜狗输入法通过其Shiply终端基础发布平台下发通用模块,这些模块会向云端请求控制配置。令人担忧的是,这些云控配置会根据用户画像(包括地理位置、时间等多维度数据)进行精准推送。凭借Shiply平台具备的灰度发布功能,攻击者可能先小范围测试传播效果,随后扩大感染范围。
监测显示,病毒推广模块会首先扫描用户设备上的安全软件,随后通过篡改系统配置文件的方式,强制修改Edge和Chrome浏览器的默认主页及搜索引擎设置。目前,火绒安全产品已能有效拦截并清除这些恶意模块。
1、样本分析
本次分析的搜狗输入法版本为15.7.0.2192。
1.1、云控配置获取与推广模块下载
技术分析显示:
- 配置拉取过程通过SGBizLauncher.exe程序实现,该程序会附加-lappid=configupdate参数
- 执行周期为6小时一次
- 输入法组件SogouPY.ime在用户切换输入法时加载
核心流程:
- ShiplySDK设置关键参数APPID和APPKEY
- 平台支持按时间/地区/版本号等条件精确投放
- 配置数据存储在SQLite数据库
- 注册表存储加密后的进程白名单
1.2、推广模块分析
检测到该模块具有以下危险行为:
- 主动规避主流杀毒软件检测
- 精准修改浏览器配置
- 植入带推广参数的搜索引擎跳转链接
- 新版模块新增浏览器主页劫持功能
1.3、其他推广行为
搜狗输入法还存在:
- 通过系统通知实现强制弹窗
- 刻意隐藏关闭弹窗的设置选项
- 云控配置可绕过用户设置
2、附录
样本哈希值:
