Google Play惡意軟件分析
摘要:最近在Google Play上發現了多個惡意應用程序(由Trend Micro檢測爲AndroidOS_BadBooster.HRX),它們能夠訪問遠程惡意廣告配置服務器、進行廣告欺詐並下載多達3000多個惡意軟件變體或惡意負載。註冊完成後Speed Clean將開始向用戶推送惡意廣告,惡意廣告內容和木馬程序將顯示在應用程序的“推薦頁面”下。
最近在Google Play上發現了多個惡意應用程序(由Trend Micro檢測爲AndroidOS_BadBooster.HRX),它們能夠訪問遠程惡意廣告配置服務器、進行廣告欺詐並下載多達3000多個惡意軟件變體或惡意負載。這些惡意應用程序通過清理、組織和刪除文件來提高設備性能,已被下載超過47萬次。該攻擊活動自2017年以來一直很活躍,Google Play已經從商店中刪除了惡意應用程序。
根據分析,3000個惡意軟件變體或惡意有效負載會下載到設備上,僞裝成設備啓動程序或程序列表上不顯示圖標的系統程序。攻擊者可以使用受影響的設備發表有利於惡意應用的虛假評論,並通過點擊彈出的廣告來進行廣告欺詐。
技術分析
攻擊活動中名爲Speed Clean的程序具有提升移動設備性能的功能。使用時應用程序會彈出廣告,看上去對於移動應用程序是無害的行爲。
這之後,Java包“com.adsmoving”下名爲“com.adsmoving.MainService”的惡意服務將建立與遠程廣告配置服務器的連接,註冊新的惡意安裝用戶。註冊完成後Speed Clean將開始向用戶推送惡意廣告,惡意廣告內容和木馬程序將顯示在應用程序的“推薦頁面”下。
在安裝了“alps-14065.apk”之後,啓動程序或設備的程序列表上也不會顯示任何應用程序圖標。它會添加了一個名爲“com.phone.sharedstorage”的應用程序,可以在“下載的應用程序”找到。
與2017年檢測到的安卓惡意軟件家族之一ANDROIDS TOASTAMIGO相同,Speed Clean應用程序可以下載惡意軟件變體或有效載荷,從而執行不同的廣告欺詐。本次攻擊活動中使用的一些典型惡意廣告欺詐行爲如下:
1、模擬用戶點擊廣告。惡意應用集成在合法的移動廣告平臺中,如谷歌AdMob和Facebook等。
2、將來自移動廣告平臺的應用程序安裝到虛擬環境中,以防止被用戶發現。
總結
攻擊者試圖通過更爲真實的惡意應用來欺騙用戶,因此用戶應在下載任何應用之前應進行仔細的辨別。可以通過在商店用戶評論來驗證應用的合法性。但是,惡意應用程序能夠下載有效載荷併發布虛假評論。儘管有很多正面評價,但會出現許多不同的用戶留下了內容相同正面評價。
*參考來源: trendmicro ,由Kriston編譯,轉載請註明來自FreeBuf.COM