PreAMo:Google Play中的告白点击运动 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

PreAMo:Google Play中的告白点击运动

申博_安全防护 申博 189次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

概述

Checkpoint平安研究人员发现了一系列针对告白商举行敲诈运动的运用程序。个中有一个歹意软件PreAMo,能够经由历程点击从三家告白商的banner来模仿用户,这三家告白上分别是Presage, Admob和Mopub。

6款歹意软件的下载量一共凌驾9000万次,现在Google已从Google Play中移除受沾染的运用程序。

PreAMo:Google Play中的告白点击运动

图1 – RAM Master Google Play信息

PreAMo

PreAMo是由三局部分歧的代码构成的,每局部代码负责处置惩罚一个告白商。由于这三块代码是散布在分歧的package中的,触发体式格局分歧,并且是没有联络的。将这三局部代码衔接在一起的是都与同一个C2效劳器举行通讯,该C2效劳器被用来发送统计数据和吸收设置装备摆设数据。这三局部代码的行动也是相似的,他们在告白收集加载的banner上注册了一个监听器,一旦banner加载,PreAMo就运用Android框架 ‘MotionEvent’类来模仿点击。

但由于告白库在完成历程当中存在差别,PreAMo背地的攻击者运用分歧的要领来处置惩罚每一个告白商。

1. Ad Agency #1 – Admob:

‘PreAMo’在com.google.android.gms.ads.internal.tools.ConfigProvider的manifest中举行了注册,目标就是在host运用启动时初始化AdMobFixer类。该类会用计时器来注册一个动态吸收器来周期性地从C2效劳器搜检设置装备摆设更新。

PreAMo:Google Play中的告白点击运动

图2 – 吸收器注册

 ‘PreAMo’用两种分歧的要领来检测是不是展现了告白banner,第一种要领是运用反射来使个中缀为内部结构,并装置回调,第二张要领是基于运动生命周期回调的。

PreAMo:Google Play中的告白点击运动

图3 – 检测要领#2

每当运用中有新运动建立时安卓体系就会关照监听器。PreAMo会从顶级的窗口(Décor)最先递归地搜刮特定的Ad View

PreAMo:Google Play中的告白点击运动

图4 –OnAdActiviy的完成

胜利检测到banner后,PreAMo会搜检以下前提集:

· 用户是不是organic。该符号是com.DianXinOS库的一局部,是依据INSTALL_REFERRER的监听器吸收的intent设置的。若是内容含有organic这个词,注解运用是在Google Play中搜刮后装置的,该值就会设置为True,不然设置为false。只要当值为False时,Autoclicking才事变。但在PreAMo的一些版本中,该值是从C2效劳器吸收的。

· 用户还没有点击告白banner。

· 点击的距离和逐日点击的最大量低于预界说的限定。

· 搜检随机值。

若是上面的前提都知足, PreAMo就在banner上模仿点击。为了到达这个目标,歹意软件会从文件assets/xdd读取预界说的坐标地位,在有些状况中,这是基于banner的巨细的,PreAMo能够运用随机天生的坐标。

PreAMo:Google Play中的告白点击运动

图5 – PreAMo实行的前提搜检

PreAMo:Google Play中的告白点击运动

图6– 从xdd读取的预决议的坐标

PreAMo:Google Play中的告白点击运动

图7 – 运用随机天生的坐标

Ad Agency #2 – Presage:

这局部代码的实行是来源于com.DianXinOS.OService类。在挪用onStartCommand的要领中,PreAMo会最先一个新的线程来周期性地显现来自Presage (ogury)库的插播告白。

在线程中,歹意软件会与C2效劳器举行通讯,并从URL hxxps://res.mnexuscdn[.]com/dp/0845e0150308bcdf5ef03ba8295075f9来加载设置装备摆设数据。

PreAMo:Google Play中的告白点击运动

果真A站完了是B站,B站后台工程源码疑似泄露,已被GitHub删除!

据微博@互联网的那点事爆料称,哔哩哔哩(B站)整个网站后台工程源码泄露,并且“不少用户名密码被硬编码在代码里面,谁都可以用。” 同时,在开源及私有软件项目托管平台GitHub上,出现了名为“哔哩哔哩bilibili网站后台工程源码”的项

图8 – 线程建立

PreAMo会吸收设置装备摆设文件并搜检ads (min_i_sec_limit)和逐日最大ads (max_p_ad)的周期。在考证胜利后,PreAMo会从Presage显现与告白有关的运动。

PreAMo:Google Play中的告白点击运动

图9 – 搜检告白设置装备摆设

PreAMo:Google Play中的告白点击运动

图10 – 插播告白

除从Presage显现告白外,PreAMo还会为主机运用注册本身的运动管理器,再完成以下的要领(图13)并替代默许的Presage web客户端来运用随机天生的坐标来点击banner(图14)。

PreAMo:Google Play中的告白点击运动

图13 – Presage的再完成要领

PreAMo:Google Play中的告白点击运动

图14 – 随机天生的坐标

Ad Agency #3 – Mopub:

当PreAMo处置惩罚Mopub时,初始化的局部会位于内容提供商中。提供者位于com.android.stats.tools.InitProvider类中,在主机运用最先时,也就是OnCreate要领中,就会实行代码并为计时器的设置装备摆设。

计时器会周期性地发送要求到URL集,搜检设置装备摆设更新:

· hxxps://res.mnexuscdn[.]com/dp/a79a2d1b9a8252fcc6917d6c46211199’

· hxxps://res.mnexuscdn[.]com/dp/75d109e54ce75b05064374ae0b77a359’

· hxxps://res.mnexuscdn[.]com/dp/dd87a43132f3ce443d1e50b29019de3b’

· hxxps://res.mnexuscdn[.]com/dp/8c7d12b8c28d8e573439c59627df9092’

与前面的局部相似,设置装备摆设包孕分歧的耽误和与点击算法相干的前提。由于Mopub库是开源的,ProAMo开源注入代码,融合到库的源代码中。好比,运用要领com.mopub.common.AdUrlGenerator中的捏造的package信息。

PreAMo:Google Play中的告白点击运动

图15 – 捏造的package信息

一样的体式格局,攻击者会修正Mraid掌握器的代码来处置惩罚WebView组件中翻开的链接。掌握器含有完成MraidListener接口的工具,个中含有JS触发的事宜的回调。个中一个回调要领叫做onOpen,开源对JS中翻开的URL做出回响反映。

PreAMo:Google Play中的告白点击运动

图16 –捏造的主机信息

PreAMo:Google Play中的告白点击运动

图17 – MraidController完成

onOpen的完成叫做class URLHandler,负责处置惩罚scheme对应的URL。PreAMo背地的攻击者对这一历程做了修正。若是URL的处置惩罚准确,并且是一个HTML页面,就模仿点击。

PreAMo:Google Play中的告白点击运动

图18 – Clicking Imitation #1

HTMLWebViewClient做的事变也是相似的,个中含有一个要领shouldOverrideUrlLoading,会在URL在以后WebView中加载的时刻给主机运用一个时机举行掌握。Mopub就用它来搜检怎样处置惩罚要在WebView中加载的URL,但歹意软件开发者会注入本身的代码来在要加载的页面上实行点击。

PreAMo:Google Play中的告白点击运动

图19 – Click imitation #2

C2效劳器

C2效劳器域名res.mnexuscdn.com是过匿名效劳注册的,依据passive total的数据注解最早是2018年12月12日涌现的。

PreAMo:Google Play中的告白点击运动

图20 –RiskIQ的WhoIS数据

果真A站完了是B站,B站后台工程源码疑似泄露,已被GitHub删除!

据微博@互联网的那点事爆料称,哔哩哔哩(B站)整个网站后台工程源码泄露,并且“不少用户名密码被硬编码在代码里面,谁都可以用。” 同时,在开源及私有软件项目托管平台GitHub上,出现了名为“哔哩哔哩bilibili网站后台工程源码”的项


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明PreAMo:Google Play中的告白点击运动
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址