Google Play的游戏应用中存在恶意代码,可展示色情广告等

ang010ela 新闻 2018年1月16日发布
Favorite收藏

导语:Check Point研究人员在Google Play应用商店中发现了60多款游戏app中存在恶意代码,而这些游戏app中许多都是针对儿童的。

Check Point研究人员在Google Play应用商店中发现了60多款游戏app中存在恶意代码,而这些游戏app中许多都是针对儿童的。根据Google Play的统计数据,这些应用的下载量在300万~700万之间。

工作原理

因为恶意软件会展示色情广告,所以我们叫称之为‘AdultSwine’,恶意软件的活动包括:

1. 展示广告,而这些广告大多是色情的或少儿不宜的;

2. 诱使用户安装伪造的安全应用;

3. 诱使用户注册付费服务;

除了这三个主要的活动,恶意代码还会利用基础设施来完成其他的功能,比如凭证窃取。

 图片.png

图 1: AdultSwine操作流

恶意软件安装后,会等待重启或者锁屏的操作,此时恶意软件就会开始恶意行为了。

不合法、不合适的广告

首先,恶意代码会与C&C服务器联系,报告成功安装的状态,发送被感染设备的数据并接受配置数据,这些配置数据将决定接下来可以进行什么样的操作,具体包括是否隐藏图标、在哪些应用中展示哪些广告等。恶意软件的开发人员有一个很聪明的行为就是,配置数据中不会在浏览器、社交网络等特定的应用中展示广告,这样做的目的是避免被用户怀疑。

然后,恶意代码会验证关于设备状态的特定条件,检查当前屏幕运行的应用。一旦条件符合,就开始在应用的内容外展示一些不合法的广告。如果恶意代码嵌入在web浏览器应用中,那么广告就会展示在浏览器中;如果不是,广告就会展示在指定的web view中。

广告的来源有两种,第一种是来源于应用的广告提供商,他们是禁止显示非法广告的;第二种是恶意代码自己的广告库,库中含有攻击性的广告,包括色情广告。当儿童在玩游戏时,这两种广告都会显示给与用户。

图片.png

2: 恶意软件显示的广告和Google Play中用户的评论

Scareware欺骗用户安装的技巧

恶意代码的另一个行为是诱使用户安装非必要的、甚至有害的“安全应用”。

首先,恶意应用会显示一个广告提示用户的设备被病毒感染。用户一旦点击“Remove Virus Now”,就会被重定向到Google Play应用商店中,有经验的人都可以看出这是一种骗术,但是小孩子可能不会识别出来。

 图片.png

3 –1  Scareware 广告

图片.png

3 –2  重定向的Google Play中的应用
图片.png

3 –3  Google Play中的用户评论

注册付费服务

恶意应用的另一个功能就是注册付费服务,有一些服务是欺诈性质的,而且是用户没有要求发送或接受的。恶意应用会显示一些弹出广告,诱使用户点击。

下面是一个例子,弹出的广告说用户回答4个简单的问题就可以赢得一个iPhone。用户回答后,恶意代码就会显示用户回答正确并赢取一个iPhone。下一步就要求用户输入手机号码来领取奖品。一旦用户输入,恶意代码就会用输入的号码来注册付费服务。

图片.png

威胁分析

目前来看,该恶意应用可恶至极,会从感情和金钱上对用户造成伤害。从原理上分析,攻击流非常简单,恶意代码从C&C服务器获取目标连接代码,然后展示给用户。有时候这些链接仅仅是个广告,但是也可能会被黑客用来进行社会工程学攻击。虽然这些应用是从Google Play这样的官方可信源下载的,但是也存在这样的安全问题。(看来Google Play等官方应用商店对上架应用的审查力度要加强了!

附恶意应用名和下载量:

图片.png

一些恶意应用的hash值:

图片.png

更多参见https://research.checkpoint.com/malware-displaying-porn-ads-discovered-in-game-apps-on-google-play/

本文翻译自:https://research.checkpoint.com/malware-displaying-porn-ads-discovered-in-game-apps-on-google-play/如若转载,请注明原文地址: http://www.4hou.com/info/news/9921.html
点赞 6
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论