逃避检测功能加强：Google Play上发现的49个新型广告恶意软件分析

概述

近期，我们在Google Play上发现了49个新型广告恶意软件应用程序，它们被伪装成游戏或流行相机。这些应用程序都是典型的广告恶意软件，隐藏在移动设备中，以显示广告内容，同时具有防止卸载和逃避检测的功能。目前，这些应用程序已经下架，但在被Google下架之前，其下载总数已经超过300万。

根据最近发生的事件，我们看到了移动端广告类恶意软件的持续增长趋势，这些应用程序也采用独特的技术来逃避检测。对于移动运营商来说，这些广告恶意软件应用程序一直是一个长期存在的问题。此前，Google曾多次对这些广告恶意软件进行处理，举例来说：在8月，Google集中下架了一批广告恶意软件；7月，Google发现了100多个广告类恶意软件应用；1月，有广告恶意软件影响了超过900万用户。多年来，我们持续关注移动端广告恶意软件的欺诈行为，曾在2018年发现这种类型的应用程序呈现出活跃的趋势。而现在，新版本恶意软件仍然持续不断被攻击者上传，我们也将继续监控相关的态势。

Google Play上的广告类恶意应用程序：

行为分析

与我们之前披露过的恶意软件类似，这些新型移动端恶意软件往往会伪装其图标，并将全屏广告推送到受害者的设备上。用户无法使用常规的方法退出这些广告界面，只能通过点击“返回键”或按下“主页键”来将其关闭。

代码的屏幕截图，其中展示了如何隐藏或删除恶意应用程序的图标：

显示全屏广告时的屏幕快照：

很明显，这些应用程序采用了一些行之有效的逃避策略。应用程序尝试通过以下技术，来逃避安全解决方案的静态和动态分析：

1、对代码进行大量混淆（如下图所示）。

2、针对其中的字符串，不仅使用Base64进行编码，还使用自定义算法（以包名称作为密钥）进行加密（如下图所示）。

3、广告恶意软件的快捷方式常常会伪装成流行的默认浏览器，并且使用与默认浏览器相同的图标。然而，用户在单击该图标后，实际上会打开一个广告页面，并且会在主屏幕上创建许多新的快捷方式（如下图所示）。

4、对于移动端不同版本的操作系统，恶意软件会采取不同的操作，特别是分别针对高版本和低版本系统采用了不同的创建快捷方式的方法。这可能是因为在Android OS 8.0发布之后，Google限制了创建快捷方式的权限，除非在获得用户授权的情况下，否则应用程序无法创建快捷方式（如下图所示）。

5、广告恶意软件通过StartForgroundService功能（在Android OS 8.0以后版本中加入）保持活动状态。恶意软件会将其自身注册为前台服务，这意味着即使用户未与之进行交互，它也可以运行。这样的模式，也可以降低当内存不足时恶意软件被终止的几率。基于这样的特点，我们发现广告恶意软件持续在发展中，并且不断适应新版本操作系统的功能特性和安全更新。

6、攻击者延长了触发恶意操作的延迟时间。

进行代码混淆：

截图中代码展现了使用自定义算法进行加密的过程，将包名称作为密钥（左图），而在较低版本中则没有加密（右图）：

截图中的代码展示了常见的默认浏览器列表：

截图显示该恶意应用程序可以创建重复的快捷方式：

如前文所述，广告类恶意软件应用程序会创建许多重复的浏览器图标快捷方式。举例来说，当点击假冒的Chrome图标时，将会打开一个空白网页，然后该页面被刷新为全屏显示的广告。

用户在浏览全屏广告后，可以尝试单击“Recent Screen”按钮以查看其来源，或者关闭广告。但是，该位置没有显示任何信息，也没有任何关于广告来源的线索。这样的策略可以帮助广告类恶意软件伪装其自身。此外，广告恶意软件图标已经对用户隐藏，这就使得查找和卸载应用程序变得更加困难。

屏幕截图中展示了伪装成Chrome浏览器的重复快捷方式（左图）。在点击仿冒的图标之后，会打开全屏显示的广告（中图）。如果打开“Recent Screen”，其中只能显示出空白（右图）。

广告类恶意软件的开发者在Activity类中，使用了新的setTaskDescription(...)方法，它可以用于在“Recent Screen”中自定义设置任务标题和任务图标的显示内容。对于这一特定的广告类恶意软件，会将其标题和图标设置为不可见。如上图右侧所示，在点击“Recent Screen”按钮之后，只会出现一个黑条，没有任何页面显示出来。

恶意软件如何将标题设置为空，如何将图标设置为不可见的状态：

针对高版本和低版本的操作系统，恶意软件会采取不同的操作：

在Android OS 8.0上创建快捷方式的请求：

在广告恶意软件的代码中，还可以定义展示某个广告的最多次数，并且可以设置广告在用户手机上展示的间隔时间。

我们根据Google Play中的一些评论，从用户举报的信息中提取出该恶意软件的一些特点：全屏广告每隔几分钟弹出一次；当用户点击屏幕上的任意位置时就会弹出恶意广告；每当用户解锁受感染手机的屏幕时，就会显示广告（操作系统发送“android.intent.action.USER_PRESENT”通知到该应用程序，并显示相应广告）。

Google Play评论中用户提交的屏幕截图，展示了广告恶意软件的行为：

这样的恶意行为不仅影响用户日常的使用，并且不断弹出的广告会持续消耗手机的电量，这种影响已经长达多年体现在这类恶意软件之中。此外，恶意软件还会对内存产生影响。由于正在运行的进程会被视为前台服务，因此系统会将其视为用户主动运行的程序，即使设备内存不足，也不会终止该程序。此外，由于该恶意软件使用逃避技术增强了自身的隐蔽性，使用户无法发觉，因此这类应用程序也非常难以卸载。如果我们删除屏幕上创建的仿冒浏览器快捷方式，并不会删除该恶意应用程序，相反，用户必须在手机设置的“应用程序”中找到相应的应用程序，然后才能将其卸载。

解决方案和安全建议

值得欣慰的是，手机制造厂商非常了解这类广告恶意软件的侵扰，并且持续在系统中安装新的修复程序来帮助用户避免使用此类应用程序。如上所述，在Android OS 8.0和更高版本中，在创建快捷方式前需要由用户进行授权。我们建议，用户应该始终保持软件和操作系统的更新，以便可以及时接受到软件公司最新提供的安全解决方案。与此同时，用户应该采用最佳的实践方案，以保护移动设备安全。此外，应用程序的评论区和打分区也是帮助我们评估应用程序质量的良好指标，阅读这部分内容，可以有助于我们充分吸收其他用户的经验，并发现应用程序可能潜在的风险。

与此同时，用户还可以采用能够阻止隐蔽广告恶意软件的安全解决方案，例如能防范恶意应用程序的Android移动安全解决方案。作为最终用户，我们可以借助其具有的多层安全功能来保护自身安全，该功能可以保护设备所有者的数据安全和隐私安全，同时保护用户免受勒索软件、欺诈性网站和身份盗用的侵害。

针对企业组织，也可以选用企业级移动安全套件，从而满足内部安全规定和法律法规的要求，并对应用程序进行有效管理，提供数据保护和配置合规等功能。此外，还可以保护设备免受漏洞利用的攻击，阻止对应用程序的未授权访问，检测并阻止恶意软件和欺诈性网站。移动应用信誉服务（MARS）使用了领先的沙箱和机器学习技术，防范Android和iOS威胁，保护用户免受恶意软件、0-day漏洞和已知漏洞的威胁，降低隐私泄露和应用程序漏洞导致的风险。

威胁指标请参考这里。

MITRE ATT&CK技术

（1）

策略：初始访问

技术：借助合法的应用商店交付恶意应用程序

ID：T1475

描述：将恶意软件上传至Google Play商店

（2）

策略：持久性

技术：在设备启动时自动运行应用程序

ID：T1402

描述：用于监听BOOT_COMPLETED广播

（3）

策略：逃避防御机制

技术：将文件或信息进行混淆

ID：T1406

描述：用于逃避一系列应用程序检测技术，随后在运行过程中对代码进行反混淆或解密。

（4）

策略：逃避防御机制

技术：禁用应用程序图标

ID：T1508

描述：用于禁止在应用程序启动器中向用户显示其图标，从而让用户无法发觉已经安装该应用程序

（5）

策略：影响

技术：产生欺诈性广告收入

ID：T1472

描述：通过展示不可关闭的广告来产生收入

（6）

策略：命令与控制

技术：标准应用层协议

ID：T1437

描述：用于与远程C2服务器进行通