Google Play现多款恶意App - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

Google Play现多款恶意App

ang010ela 恶意软件 2020-02-09 09:20:00
355774
收藏

导语:Trend Micro研究人员在Google Play应用商店中发现一起从2017年开始的攻击活动。

Trend Micro研究人员近期在Google Play中发现了多个恶意优化、加速和小工具app,这些app可以访问远程广告配置服务器、执行手机广告欺诈、在受害者设备上下载多达3000款恶意软件变种和恶意payload。这些恶意app自称通过清理、组织和删除文件达到增强设备性能的目的,目前累计下载超过47万次。数据显示,该攻击活动自2017年开始活动,目前Google Play官方已经从应用商店中移除了相关的恶意app。

研究人员分析发现,攻击活动可以在受害者设备上下载超过3000款恶意软件变种和恶意payload,这些app安装后会以系统应用的形式存在,不在设备启动器中出现应用图标,也不出现在应用列表中。攻击活动背后的犯罪分子可以用受感染的设备来发布对恶意app的虚假好评,通过点击弹窗来执行多起广告诈骗活动。

图 1. Google Play中发现的恶意app

图 2. 恶意广告配置服务之间的关系(图形化表示)

注:红色节点表示被多个安全厂商检测到

技术分析

其中一个恶意app名为Speed Clean,提供所谓的设备加速功能。在使用app时,会在app中弹出广告,看起来是手机应用的正常行为。

图 3. Speed Clean app显示的广告

但研究人员也发现了受影响设备中出现的恶意行为。Speed Clean app可以启动一个透明的活动背景来隐藏恶意内容,这样用户就看不到恶意行为和内容了。

图 4. 让恶意app启动透明活动背景的代码

之后,Java package “com.adsmoving”下的恶意服务“com.adsmoving.MainService”会与远程广告配置服务器建立连接,并注册新的恶意安装。

注册完成后,Speed Clean会开始向用户推送恶意广告内容。比如,恶意广告内容和木马会出现在app的“Recommend Pages”部分。

图 5.显示恶意服务“com.adsmoving.MainService”的代码

图 6.恶意app流量内容截图

即使在安装了“alps-14065.apk”后,也不会在设备启动器出现图标或设备应用安装列表中出现。但是会在Downloaded Apps中添加一个 名为com.phone.sharedstorage的app。

图 7. “Downloaded Apps”中的恶意木马APK

与研究人员2017年发现的恶意软件家族ANDROIDOS_TOASTAMIGO类似,恶意Speed Clean app可以下载执行不同广告欺诈的恶意软件变种或payload。攻击活动中使用的一些典型恶意广告欺诈行为包括:

1、模拟用户点击广告。这些恶意app会融入大量的合法手机广告平台,比如Google AdMob、Facebook Audience Network等。

图 8. AndroidOS_BoostClicker.HRX使用“sendPointerSync” API来模拟用户点击广告的逆向和反混淆后的代码

2、从手机广告平台安装有奖励的app到虚拟环境以防被用户检测到。

图 9. AndroidOS_BoostClicker.HRX使用VirtualApp安装有奖励的app的逆向和反混淆后的代码

3、诱使用户在受影响的设备启动accessibility权限和关闭Google Play保护的安全保护功能。这可以保证恶意payload可以在不被用户发现的情况下下载和安装更多的恶意app。

图 10. AndroidOS_BoostClicker.HRX使用accessibility权限关闭Google Play Protect安全保护特征的逆向和反混淆后的代码

4、使用受影响的设备的accessibility功能可以发布对优化器和小工具app的虚假好评。

图 11. AndroidOS_BoostClicker.HRX使用accessibility功能发布对AndroidOS_BadBooster.HRX的虚假好评的代码

5、使用accessibility功能用Google和Facebook账户登陆新安装的恶意app。

 accounts.

图 12. AndroidOS_BoostClicker.HRX使用accessibility功能用Google和Facebook账户登陆新安装的恶意app的代码

研究人员分析了2017年起与该攻击活动有关的恶意payload和恶意软件变种。

image.png

表 1. 2017年到2020年1季度下载的恶意软件变种和恶意payload数

 

研究人员分析发现受该活动影响最大的国家和地区是日本、中国台湾、美国、印度和泰国。

image.png

表2. 过去3个月每个国家的感染数量

研究人员修改了国家代码的地理位置参数值,甚至不存在的随机的国家代码,远程广告配置服务器仍然会返回恶意内容。但研究人员将地理位置参数值设置为中国(geo=cn (China))时,就不返回恶意内容了。

图 13. 将地理位置参数设置为中国后,不返回恶意广告内了

安全建议

广告欺诈活动将将恶意app伪装称合法的app来欺骗用户,所以用户在下载app前需要注意。可以通过应用商店的用户评论验证app的合法性。在本例中,恶意app会下载可以发布伪装好评的虚假评论。但这种虚假好评也会留下痕迹,因此用户需要注意。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-apps-on-google-play-communicate-with-trojans-install-malware-perform-mobile-ad-fraud/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务