歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Google Play中發現上百個偽裝為游戲和拍照APP的廣告惡意軟件

來源:本站整理 作者:佚名 時間:2019-07-03 TAG: 我要投稿

美國2019年移動廣告商的支出預計超過160萬美元,隨著移動廣告傳播活動逐年增長,網絡犯罪分子開始通過廣告惡意軟件來進行盈利。Trend Micro研究人員近期發現了一起隱藏在Google Play應用商店中的惡意廣告攻擊活動,其中主要是游戲和拍照APP,下載量已經超過百萬。攻擊活動背后的廣告惡意軟件可以隱藏惡意APP的圖標,展示無法立刻關閉或退出的全屏廣告,還可以繞過沙箱的檢測。
研究人員是在2019年6月中旬發現該廣告惡意軟件活動的。基于APP的行為分析,研究人員生成了可以用于分析其他原本的heuristic patterns。通過分析app的package名、標記、發布時間、下線時間、代碼結構、代碼風格和特征,研究人員得出結論:該廣告惡意軟件活動是從2018年開始活躍的,這些惡意APP是通過不同的開發者來提交的。
在這182個廣告惡意軟件加載的APP中,其中111個來自于Google Play官方應用商店,剩下的來自于第三方應用商店。經過分析,研究人員發現Google Play中的111個APP中,有43個是唯一或擁有獨特特征的,其他APP有的只是一個副本。
研究人員分析過程中發現,除了8款APP外,Google Play官方應用商店中其余的惡意APP已經被移除了。在下架之前,這些APP總的下載量為934.9萬。

圖1. Google Play官方應用商店中未下架的8款惡意APP
行為分析
因為惡意APP共享一些代碼結構,所以也會有一些類似的行為習慣。下載后,與廣告惡意軟件攻擊活動相關的惡意APP會在特定時間內運行,然后惡意APP的圖標會對用戶隱藏,因此很難定位或卸載APP。

圖2. Google Play中描述廣告惡意軟件功能的評論

圖3. 不同app package有相似的代碼結構和風格

圖4. 設置惡意代碼執行時間延遲的代碼段


 
圖5-6. 隱藏惡意APP圖標或在30分鐘后刪除圖標的代碼
當用戶解鎖受干擾的手機屏幕時,廣告惡意軟件會用過濾器android.intent.action.USER_PRESENT來展示全屏廣告。廣告惡意軟件中還有代碼來提供廣告展示的最大數量和時間間隔。研究人員分析發現,廣告惡意軟件攻擊活動中,最高的廣告展示頻率是5分鐘。

圖7. 過濾器android.intent.action.USER_PRESENT和廣告顯示時間和間隔的代碼
即使APP沒有運行,全屏廣告也不能立刻關閉或退出。如果用戶嘗試通過返回按鈕來退出彈出廣告,就會顯示“open with” call-to-action消息而不是退出廣告。關閉廣告按鈕只有在展示廣告到達一定時間后才顯示。
因為廣告還會在后臺彈出或顯示,所以還會占用受感染設備的電池和內存。

圖8. 廣告惡意軟件攻擊活動中的全屏廣告示例
研究人員分析還發現攻擊者開始使用更高級的技術在新版本的廣告惡意軟件中來隱藏惡意APP。

圖9. 早期版本中使用的技術

圖10. 新版本中使用的技術
研究人員發現廣告惡意軟件攻擊活動中的犯罪分子在不斷地擴展和加強其攻擊活動。在最新的版本中,在感染設備24小時后才會執行計劃任務。這段延遲時間可以讓廣告惡意軟件繞過常規的沙箱檢測技術。

圖11. 24小時后才執行計劃惡意任務的代碼
惡意代碼中還有關于確定APP是否隱藏自己的特征條件和參數,比如IsOrganic和CountryIsAllow。

圖12. 決定APP是否隱藏自己的條件代碼

圖13. 預定義的引用資源的過濾器代碼

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺