如何拿下Gooligan（三）：貨幣化策略和清理Gooligan

新聞 03-31

貨幣化策略

Gooligan的目標是通過兩個主要的欺詐方案進行獲利，分別是廣告欺詐和Android app boosting。

廣告欺詐

如上圖所示，Gooligan會周期性的使用root許可權來覆蓋當前用戶視圖的合法app的廣告彈窗。這樣，Gooligan就了解了用戶當前在看什麼，可以監控包括屏幕開啟在內的不同的重要活動。

因為Gooligan並沒有濫用谷歌的廣告網路，使用的是一種gazillion HTTP重定向，所以研究人員並沒有去關注這些廣告活動的有效性以及背後的運營者。但研究人員有理由相信廣告欺詐的收入是Googligan收入的主要來源。

App Boosting

Gooligan在受感染的設備商獲利的另一種方式是執行安卓app boosting。app boosting包是應用商店中特定查詢的結果集。查詢會被用來對app在特定項目里進行排名，該技術已經應用於應用商店優化（App Store Optimization）指南中了。

Gooligan竊取OAuth token然後操作應用商店的一個原因是業界採用的防護手段在檢測虛假綜合安裝的有效性。Gooligan開發者嘗試用真實的設備和真實的賬戶來繞過檢測系統。研究人員檢測到了所有的虛假安裝，並下架了這些app和開發者帳戶。

app boosting一共分為4步：

·Token竊取。惡意軟體會從手機的賬戶中竊取手機的長期token。

·接收指令。Gooligan向中央C&C伺服器報告手機信息後，會接收推送那些app的響應消息。因為Gooligan開發者可以訪問沒有被攻破的手機獲取手機的信息，然後用這些信息來偽造虛假的請求消息。

·Token交換。長期token會被用來交換一個短期的token，Gooligan用這個短期的token可以訪問應用商店。幸運的是Gooligan並沒有竊取用戶數據，也沒有請求其他的數據。

·Boosting。通過應用商店進行虛假搜索，安裝和評論。

清理（整治）

清理Gooligan是很複雜的，主要原因有兩個。一是在感染階段，會重設工廠模式達到長期駐留的目的，這樣的話，恢復出廠設置就不足以解決一些老的沒有補丁升級的設備的感染問題。二是Oauth token已經被竊取並上傳到Googligan伺服器了。

要求用戶對設備進行刷機是不現實的，OTA更新的話需要的時間又很長。因此，研究人員決定與第三方協作採取另外一種方式拿下Googligan。

拿下Googligan

通過影子伺服器和域名註冊者的信息，研究人員建立了一個sinkhole伺服器，並將其指向影子伺服器控制的IP地址而不是Gooligan開發者控制的IP。這確保了受感染的設備不會泄漏token或者接受廣告指令，因為這些設備會連接到sinkhole伺服器而不是真實的C&C伺服器。事實證明，這種措施是非常成功的，2017年它攔截了超過5000萬嘗試連接Gooligan伺服器的請求。

通知用戶

修復的第二個部分是關閉泄漏的token並通過用戶，這樣就可以使被黑的賬戶恢復正常。像這樣大規模的通知用戶是非常複雜的，因為：

·以一種及時的方式通知多個設備是很困難的。研究人員使用了SMS，郵件，安卓通知等方式向用戶通知。

·要以一種用戶可以理解和接受的方式通知用戶也是非常重要的。清楚地解釋發生了什麼並且簡單的使用重複等策略。

最終的通知如下圖所示。