最近在google play上發(fā)現(xiàn)了多個惡意應(yīng)用程序(由trend micro檢測為androidos_badbooster.hrx),它們能夠訪問遠(yuǎn)程惡意廣告配置服務(wù)器、進(jìn)行廣告欺詐并下載多達(dá)3000多個惡意軟件變體或惡意負(fù)載。這些惡意應(yīng)用程序通過清理、組織和刪除文件來提高設(shè)備性能,已被下載超過47萬次。該攻擊活動自2017年以來一直很活躍,google play已經(jīng)從商店中刪除了惡意應(yīng)用程序。
根據(jù)分析,3000個惡意軟件變體或惡意有效負(fù)載會下載到設(shè)備上,偽裝成設(shè)備啟動程序或程序列表上不顯示圖標(biāo)的系統(tǒng)程序。攻擊者可以使用受影響的設(shè)備發(fā)表有利于惡意應(yīng)用的虛假評論,并通過點擊彈出的廣告來進(jìn)行廣告欺詐。
技術(shù)分析
攻擊活動中名為Speed Clean的程序具有提升移動設(shè)備性能的功能。使用時應(yīng)用程序會彈出廣告,看上去對于移動應(yīng)用程序是無害的行為。
Speed Clean還能夠啟動透明的活動背景來隱藏惡意內(nèi)容。
這之后,Java包“com.adsmoving”下名為“com.adsmoving.MainService”的惡意服務(wù)將建立與遠(yuǎn)程廣告配置服務(wù)器的連接,注冊新的惡意安裝用戶。注冊完成后Speed Clean將開始向用戶推送惡意廣告,惡意廣告內(nèi)容和木馬程序?qū)@示在應(yīng)用程序的“推薦頁面”下。
圖6為惡意軟件流量。
在安裝了“alps-14065.apk”之后,啟動程序或設(shè)備的程序列表上也不會顯示任何應(yīng)用程序圖標(biāo)。它會添加了一個名為“com.phone.sharedstorage”的應(yīng)用程序,可以在“下載的應(yīng)用程序”找到。
與2017年檢測到的安卓惡意軟件家族之一ANDROIDS TOASTAMIGO相同,Speed Clean應(yīng)用程序可以下載惡意軟件變體或有效載荷,從而執(zhí)行不同的廣告欺詐。本次攻擊活動中使用的一些典型惡意廣告欺詐行為如下:
1、模擬用戶點擊廣告。惡意應(yīng)用集成在合法的移動廣告平臺中,如谷歌AdMob和Facebook等。
2、將來自移動廣告平臺的應(yīng)用程序安裝到虛擬環(huán)境中,以防止被用戶發(fā)現(xiàn)。
3、誘使用戶啟用訪問權(quán)限,停用Google Play Protect的安全保護(hù)功能。確保惡意負(fù)載可以下載并安裝更多的惡意應(yīng)用程序,不會被用戶發(fā)現(xiàn)。
4、使用受影響設(shè)備發(fā)布虛假評論。
5、使用accessibility功能利用Google和Facebook帳戶登陸惡意軟件。
從惡意軟件變體以及與此攻擊活動相關(guān)的惡意有效載荷中獲取信息如下:
還注意到受感染最嚴(yán)重的國家或地區(qū)是日本、臺灣、美國、印度和泰國。
可以將國家/地區(qū)代碼的地理參數(shù)值修改為任何國家/地區(qū)代碼,甚至是隨機的不存在的國家/地區(qū)代碼,遠(yuǎn)程廣告配置服務(wù)器始終返回惡意內(nèi)容,但是該活動排除了中國用戶。
