“美颜”有毒

TRex Web安全 2019年1月31日发布
Favorite收藏

导语:trendmicro在Google Play上发现多款恶意“美颜相机”应用程序,它们向用户发送色情内容,将其重定向到网络钓鱼网站并收集图片 。

我们在Google Play上发现了几款美容相机应用(检测为AndroidOS_BadCamera.HRX),可以访问用于恶意目的的远程广告配置服务器。其中一些已经被下载了数百万次,考虑到这些类型的应用程序的流行,这并不奇怪。大量的下载来自亚洲,尤其集中在印度。

图1. Google Play上恶意美容相机应用的屏幕截图

技术分析

下载应用程序的用户不会立即怀疑其有任何不妥之处,直到他们决定删除该应用程序。以com.beauty.camera.project.cloud包为例,它将在启动后创建一个快捷方式。但是,它会将其图标从应用程序列表中隐藏,这使得用户更难以卸载该应用程序,因为他们无法拖动和删除。此外,相机应用程序使用加壳程序来防止它们被分析。

图2.显示恶意应用程序如何从应用程序列表中隐藏自身的代码段

当用户解锁设备时,该应用会推送几个全屏广告,包括将通过用户的浏览器弹出的恶意广告(如欺诈性内容和色情内容)。在分析过程中,我们发现了一个付费的在线色情播放器(检测为AndroidOS_PornPlayer.UHRXA),在点击弹出窗口时下载了该播放器。但请注意,即使在用户付费并启动播放器之后,也不会播放任何内容。

没有任何迹象表明这些应用程序的背后是广告,因此用户会很难发现它们的来源。其中一些应用程序重定向到网络钓鱼网站,要求用户提供个人信息,例如地址和电话号码。例如,在下图中,单击中间屏幕截图中的“确定”按钮将用户重定向到新页面,这将为用户提供三次尝试以赢得奖品。第三次尝试将始终允许用户获胜,之后将出现一个表单,询问用户详细信息。

图3.弹出广告的屏幕截图(中间截图中的中文文本是用户赢得iPhone X的公告,在弹出窗口上单击确定将显示钓鱼网站)

该应用程序将从以下远程服务器和外部URL下载广告配置,它们将分析目标设备以确定广告的行为:

· hxxps://d3pukqxlxhielm.cloudfront.net/congfig[.]json

· hxxps://dgld3i8oh1hf6.cloudfront.net/congfig[.]json

然后安排后台服务解析配置并调用设备的浏览器。

图4和5.网络流量和代码段显示浏览器弹出不需要的广告

另一批恶意相机应用程序

进一步深入调查后,发现了另一批与照片过滤器相关的应用程序,它们在Google Play上具有相似的行为。这些应用程序允许用户通过将他们的图片上传到指定的服务器来“美化”。但是,用户不会获得最终已编辑的照片,取而代之的是使用九种不同语言的假冒更新提示获取图片。作者可以收集在应用程序中上传的照片,并可能将其用于恶意目的 – 例如,在社交媒体中伪造的个人资料照片。

图6:ART照片编辑器(中间:“编辑过程”,右:虚假更新)

这些应用程序使用的远程服务器在代码中使用BASE64编码了两次。此外,其中一些应用程序也可以通过上面提到的相同隐藏技术隐藏自己。

在撰写本文时,谷歌已经删除了这些应用程序。

图7:从Google Play下载的恶意相机过滤应用

建议

鉴于许多恶意应用程序看起来都很合法,用户应该始终调查应用程序的合法性。一个好方法是检查来自其他用户的评论。如果评论提到任何类型的可疑行为,那么就不要下载应用程序。

图8.来自其中一个应用程序的评论(大多数分数是五星级或一星级,呈“U”形曲线,这可能表明合法评论者给出的评分较低,而假冒评分则给出尽可能高的评分)

 

IoCs

1.png

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/various-google-play-beauty-camera-apps-sends-users-pornographic-content-redirects-them-to-phishing-websites-and-collects-their-pictures/如若转载,请注明原文地址: http://www.4hou.com/web/16064.html
点赞 9
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论