多個安卓牆紙APP運行惡意廣告
研究人員在Google play中檢測到15個進行點擊廣告欺詐的牆紙APP。截止發文,這些APP下載次數超過22萬次,主要分布於義大利、中國台灣、美國、德國、印尼等國家和地區。目前Google已經將這些應用從應用商店移除了。
圖1. Google Play中的惡意APP
行為分析
這些APP的圖標都是非常漂亮的手機牆紙,而且這些APP的評價都很高;但研究人員懷疑這些評論都是假的。
圖2. 動物HD牆紙APP下載次數超過1萬次
該APP在Google play應用商店中的評分為4.8/5分。
下載後,APP會從配置文件中解碼出C2伺服器地址。
圖3. C2伺服器地址解碼和運行
整個過程都是悄悄執行的,用戶並不會發現。APP啟動後,會創建HTTP GET請求與C2伺服器建立連接,獲取JSON格式列表。
圖4. 整個過程是mute的
圖5. C&C伺服器響應
Feed運行後,每個初始化的feed和對象都包含fallback_URL, type, UA, URL, referer, x_requested_with和keywords。
圖6. 初始化的feed列表
然後APP會從Google Play服務中獲取廣告ID,並替換廣告ID的URL、ANDROID_ID,用欺詐的APP包名替換BUNDLE_ID,將IP替換為受感染設備的當前IP。替換後,URL會按照類型來載入。
圖7. 構建欺詐的fallback_URL
載入URL後,瀏覽器背景會被設為透明的(transparent)。
圖8. 背景被設為透明的(transparent)
URL載入後,APP會模擬點擊廣告頁面。
圖9. 模擬廣告點擊
網路犯罪分子通過替換參數值來盈利。Google為安卓開發者提供的ID都是匿名的,可以被用來獲利,這些ID包括advertising ID, advertiser ID和device ID。APP用ad ID、app package name、當前IP、當前瀏覽器的用戶代理替換了ANDROID_ID, BUNDLE_ID, IP, USER_AGENT。這些都在配置文件中的fallback_URL中,用來創建虛假點擊的欺詐 fallback_URL。比如,原來應該是:
http[:]//pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid=&bundle=&ip=&ua=&cb=5c1236f316e45
被替換後變成:
http[:]//pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid=260903559217b3a8&bundle=com.amz.wildcats&ip= 203.90.248.163&ua=Mozilla/5.0 (Linux; Android 6.0.1; MuMu Build/V417IR; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/52.0.2743.100 Mobile Safari/537.36&cb=5c1236f316e45
總結
因為網路犯罪分子會操作APP特徵來盈利、竊取信息和發起攻擊,因此用戶應該注意下載和安裝的APP。手機設備更應該安裝殺毒軟體、安全衛士這樣的軟體來應對潛在的安全風險。
IoCC2伺服器
http[:]//myukka.com/v2/xfeeds.php
http[:]//198.1.125.77/tracking/config.php
※以全球關鍵基礎設施為目標的新攻擊活動——Operation Sharpshooter
※犯罪分子使用惡意Memes與惡意軟體通信
TAG:嘶吼RoarTalk |