Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

申博_新闻事件 申博 55次浏览 未收录 0个评论

美国2019年挪动广告商的付出估计凌驾160万美元,跟着挪动广告流传运动逐年增进,收集犯法分子最先经由过程广告歹意软件来举行红利。Trend Micro研究人员近期发明了一同隐蔽在Google Play运用市肆中的歹意广告进击运动,个中主假如游戏和照相APP,下载量已凌驾百万。进击运动背地的广告歹意软件能够隐蔽歹意APP的图标,展现没法马上封闭或退出的全屏广告,还能够绕过沙箱的检测。

研究人员是在2019年6月中旬发明该广告歹意软件运动的。基于APP的行动剖析,研究人员生成了能够用于剖析其他底本的heuristic patterns。经由过程剖析app的package名、标记、宣布时候、下线时候、代码构造、代码作风和特性,研究人员得出结论:该广告歹意软件运动是从2018年最先活泼的,这些歹意APP是经由过程差别的开发者来提交的。

在这182个广告歹意软件加载的APP中,个中111个来自于Google Play官方运用市肆,剩下的来自于第三方运用市肆。经由剖析,研究人员发明Google Play中的111个APP中,有43个是唯一或具有奇特特性的,其他APP有的只是一个副本。

研究人员剖析过程当中发明,除了8款APP外,Google Play官方运用市肆中其他的歹意APP已被移除了。鄙人架之前,这些APP总的下载量为934.9万。

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

图1. Google Play官方运用市肆中未下架的8款歹意APP

行动剖析

由于歹意APP同享一些代码构造,所以也会有一些类似的行动习惯。下载后,与广告歹意软件进击运动相干的歹意APP会在特定时候内运转,然后歹意APP的图标会对用户隐蔽,因而很难定位或卸载APP。

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

图2. Google Play中形貌广告歹意软件功用的批评

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

图3. 差别app package有类似的代码构造和作风

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

图4. 设置歹意代码实行时候耽误的代码段

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件 

图5-6. 隐蔽歹意APP图标或在30分钟后删除图标的代码

当用户解锁受滋扰的手机屏幕时,广告歹意软件会用过滤器android.intent.action.USER_PRESENT来展现全屏广告。广告歹意软件中另有代码来供应广告展现的最大数目和时候距离。研究人员剖析发明,广告歹意软件进击运动中,最高的广告展现频次是5分钟。

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

图7. 过滤器android.intent.action.USER_PRESENT和广告显现时候和距离的代码

纵然APP没有运转,全屏广告也不能马上封闭或退出。假如用户尝试经由过程返回按钮来退出弹出广告,就会显现“open with” call-to-action音讯而不是退出广告。封闭广告按钮只要在展现广告抵达肯定时候后才显现。

由于广告还会在背景弹出或显现,所以还会占用受感染装备的电池和内存。

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

F5 Networks Endpoint Inspector能够经由过程特别组织的页面触发RCE

F5端点检查器(F5 Networks Endpoint Inspector)是一个安全检查应用程序,它可以被web浏览器调用,来扫描客户端的运行是否符合安全要求。 近期有研究人员发现,如果F5端点检查器可能会被恶意网站滥用,通过特殊构造的页面触发RCE。 具体利用过程,请看此视频。 下面我们来详细说明一下这个过程: 1.可以看到,如果浏览http://naughty.website/网站,该网站包含一个“特别制作”的f5-epi:// URI,这会触发F5端点检查器的运行。 2.弹出一个UAC框,显然是试图运行一个由合法的F5网络证书签名的进程。 3.然后弹出powershell.exe,作为f5instd.exe的子进程运行,该进程具有管理员权限。 实事求是地讲,这并不是一个真正意义上的漏洞利用过程。所以研究人员在向F5报告时,该公司并不承认这是一个漏洞,原因何在呢?他们认为有太多的先决

图8. 广告歹意软件进击运动中的全屏广告示例

研究人员剖析还发明进击者最先运用更高等的手艺在新版本的广告歹意软件中来隐蔽歹意APP。

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

图9. 初期版本中运用的手艺

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

图10. 新版本中运用的手艺

研究人员发明广告歹意软件进击运动中的犯法分子在不断地扩大和增强其进击运动。在最新的版本中,在感染装备24小时后才会实行计划使命。这段耽误时候能够让广告歹意软件绕过通例的沙箱检测手艺。

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

图11. 24小时后才实行计划歹意使命的代码

歹意代码中另有关于肯定APP是不是隐蔽本身的特性前提和参数,比方IsOrganic和CountryIsAllow。

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

图12. 决议APP是不是隐蔽本身的前提代码

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

图13. 预定义的援用资本的过滤器代码

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

图14. 连接到广告歹意软件变种C2服务器来掌握APP的代码

由于app中歹意运动的举行有时候耽误,连接到C2服务器也有耽误,如许广告歹意软件在运转时并不会被装备中装置的AV软件或剖析东西标记为歹意的。该广告歹意软件变种还能够经由过程编码的隐蔽要领setComponentEnabledSetting来绕过AV的静态剖析。

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

图15. 犯法剖析用来绕过静态剖析的隐蔽图标要领代码

应对发起

用户能够依据下图的步骤来手动移除广告歹意软件。

Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件

收集犯法分子找到了一种新的要领来使挪动端要挟越发可疑,并能够绕过检测来历久赢利。除了运用广告歹意软件来红利外,还能够盗取敏感个人信息。这也是为何挪动装备能够应该装置应对挪动端歹意软件的综合性的平安解决方案的缘由。

原文地点: https://www.4hou.com/info/news/18924.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Google Play中发明上百个伪装为游戏和照相APP的广告歹意软件
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址