欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

Google Play现多款恶意App

b9e08c31ae1faa592020-02-0961恶意软件

Trend Micro研究人员近期在Google Play中发现了多个恶意优化、加速和小工具app,这些app可以访问远程广告配置服务器、执行手机广告欺诈、在受害者设备上下载多达3000款恶意软件变种和恶意payload。这些恶意app自称通过清理、组织和删除文件达到增强设备性能的目的,目前累计下载超过47万次。数据显示,该攻击活动自2017年开始活动,目前Google Play官方已经从应用商店中移除了相关的恶意app。

研究人员分析发现,攻击活动可以在受害者设备上下载超过3000款恶意软件变种和恶意payload,这些app安装后会以系统应用的形式存在,不在设备启动器中出现应用图标,也不出现在应用列表中。攻击活动背后的犯罪分子可以用受感染的设备来发布对恶意app的虚假好评,通过点击弹窗来执行多起广告诈骗活动。

Google Play现多款恶意App  恶意软件 第1张

图 1. Google Play中发现的恶意app

Google Play现多款恶意App  恶意软件 第2张图 2. 恶意广告配置服务之间的关系(图形化表示)

注:红色节点表示被多个安全厂商检测到

技术分析

其中一个恶意app名为Speed Clean,提供所谓的设备加速功能。在使用app时,会在app中弹出广告,看起来是手机应用的正常行为。

Google Play现多款恶意App  恶意软件 第3张

图 3. Speed Clean app显示的广告

但研究人员也发现了受影响设备中出现的恶意行为。Speed Clean app可以启动一个透明的活动背景来隐藏恶意内容,这样用户就看不到恶意行为和内容了。

Google Play现多款恶意App  恶意软件 第4张

Google Play现多款恶意App  恶意软件 第5张

图 4. 让恶意app启动透明活动背景的代码

之后,Java package “com.adsmoving”下的恶意服务“com.adsmoving.MainService”会与远程广告配置服务器建立连接,并注册新的恶意安装。

注册完成后,Speed Clean会开始向用户推送恶意广告内容。比如,恶意广告内容和木马会出现在app的“Recommend Pages”部分。

Google Play现多款恶意App  恶意软件 第6张

Google Play现多款恶意App  恶意软件 第7张

图 5.显示恶意服务“com.adsmoving.MainService”的代码

Google Play现多款恶意App  恶意软件 第8张Google Play现多款恶意App  恶意软件 第9张

图 6.恶意app流量内容截图

即使在安装了“alps-14065.apk”后,也不会在设备启动器出现图标或设备应用安装列表中出现。但是会在Downloaded Apps中添加一个 名为com.phone.sharedstorage的app。

Google Play现多款恶意App  恶意软件 第10张

图 7. “Downloaded Apps”中的恶意木马APK

与研究人员2017年发现的恶意软件家族ANDROIDOS_TOASTAMIGO类似,恶意Speed Clean app可以下载执行不同广告欺诈的恶意软件变种或payload。攻击活动中使用的一些典型恶意广告欺诈行为包括:

1、模拟用户点击广告。这些恶意app会融入大量的合法手机广告平台,比如Google AdMob、Facebook Audience Network等。

攻击者利用Bitbucket存储大量恶意软件,已感染全球超50万台电脑

介绍 近期,Cybereason安全团队在一起攻击行动中发现了攻击者存储于Bitbucket平台上的武器库,库中包含了大量间谍软件、挖矿软件和勒索软件。攻击者将恶意负载保管在Bitbucket中的不同帐户中,进而感染受害者。由于部署的恶意软件类型较多,攻击者能够从各个方面攻击受害者,而不必局限于单一的攻击目标或场景。 攻击者所使用的恶意软件如下: · Predator:间谍软件,能从浏览器中窃取凭证、摄像头拍摄、截屏、窃取加密货币等。 · Azorult:间谍软件,可以窃取密码、电子邮件凭证、cookie、浏览器历史记录、用户id和加密货币,并且具有后门功能。 · Evasive Monero Miner:多阶段的XMRig矿机

Google Play现多款恶意App  恶意软件 第11张

图 8. AndroidOS_BoostClicker.HRX使用“sendPointerSync” API来模拟用户点击广告的逆向和反混淆后的代码

2、从手机广告平台安装有奖励的app到虚拟环境以防被用户检测到。

Google Play现多款恶意App  恶意软件 第12张

图 9. AndroidOS_BoostClicker.HRX使用VirtualApp安装有奖励的app的逆向和反混淆后的代码

3、诱使用户在受影响的设备启动accessibility权限和关闭Google Play保护的安全保护功能。这可以保证恶意payload可以在不被用户发现的情况下下载和安装更多的恶意app。

Google Play现多款恶意App  恶意软件 第13张Google Play现多款恶意App  恶意软件 第14张Google Play现多款恶意App  恶意软件 第15张

图 10. AndroidOS_BoostClicker.HRX使用accessibility权限关闭Google Play Protect安全保护特征的逆向和反混淆后的代码

4、使用受影响的设备的accessibility功能可以发布对优化器和小工具app的虚假好评。

Google Play现多款恶意App  恶意软件 第16张Google Play现多款恶意App  恶意软件 第17张

图 11. AndroidOS_BoostClicker.HRX使用accessibility功能发布对AndroidOS_BadBooster.HRX的虚假好评的代码

5、使用accessibility功能用Google和Facebook账户登陆新安装的恶意app。

 accounts.

Google Play现多款恶意App  恶意软件 第18张Google Play现多款恶意App  恶意软件 第19张

图 12. AndroidOS_BoostClicker.HRX使用accessibility功能用Google和Facebook账户登陆新安装的恶意app的代码

研究人员分析了2017年起与该攻击活动有关的恶意payload和恶意软件变种。

Google Play现多款恶意App  恶意软件 第20张

表 1. 2017年到2020年1季度下载的恶意软件变种和恶意payload数

 

研究人员分析发现受该活动影响最大的国家和地区是日本、中国台湾、美国、印度和泰国。

Google Play现多款恶意App  恶意软件 第21张

表2. 过去3个月每个国家的感染数量

研究人员修改了国家代码的地理位置参数值,甚至不存在的随机的国家代码,远程广告配置服务器仍然会返回恶意内容。但研究人员将地理位置参数值设置为中国(geo=cn (China))时,就不返回恶意内容了。

Google Play现多款恶意App  恶意软件 第22张Google Play现多款恶意App  恶意软件 第23张

图 13. 将地理位置参数设置为中国后,不返回恶意广告内了

安全建议

广告欺诈活动将将恶意app伪装称合法的app来欺骗用户,所以用户在下载app前需要注意。可以通过应用商店的用户评论验证app的合法性。在本例中,恶意app会下载可以发布伪装好评的虚假评论。但这种虚假好评也会留下痕迹,因此用户需要注意。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-apps-on-google-play-communicate-with-trojans-install-malware-perform-mobile-ad-fraud/