多個安卓牆紙APP運行惡意廣告

研究人員在Google play中檢測到15個進行點擊廣告欺詐的牆紙APP。截止發文，這些APP下載次數超過22萬次，主要分布於義大利、中國台灣、美國、德國、印尼等國家和地區。目前Google已經將這些應用從應用商店移除了。

圖1. Google Play中的惡意APP

行為分析

這些APP的圖標都是非常漂亮的手機牆紙，而且這些APP的評價都很高；但研究人員懷疑這些評論都是假的。

圖2. 動物HD牆紙APP下載次數超過1萬次

該APP在Google play應用商店中的評分為4.8/5分。

下載後，APP會從配置文件中解碼出C2伺服器地址。

圖3. C2伺服器地址解碼和運行

整個過程都是悄悄執行的，用戶並不會發現。APP啟動後，會創建HTTP GET請求與C2伺服器建立連接，獲取JSON格式列表。

圖4. 整個過程是mute的

圖5. C&C伺服器響應

Feed運行後，每個初始化的feed和對象都包含fallback_URL, type, UA, URL, referer, x_requested_with和keywords。

圖6. 初始化的feed列表

然後APP會從Google Play服務中獲取廣告ID，並替換廣告ID的URL、ANDROID_ID，用欺詐的APP包名替換BUNDLE_ID，將IP替換為受感染設備的當前IP。替換後，URL會按照類型來載入。

圖7. 構建欺詐的fallback_URL

載入URL後，瀏覽器背景會被設為透明的（transparent）。

圖8. 背景被設為透明的（transparent）

URL載入後，APP會模擬點擊廣告頁面。

圖9. 模擬廣告點擊

網路犯罪分子通過替換參數值來盈利。Google為安卓開發者提供的ID都是匿名的，可以被用來獲利，這些ID包括advertising ID, advertiser ID和device ID。APP用ad ID、app package name、當前IP、當前瀏覽器的用戶代理替換了ANDROID_ID, BUNDLE_ID, IP, USER_AGENT。這些都在配置文件中的fallback_URL中，用來創建虛假點擊的欺詐 fallback_URL。比如，原來應該是：

http[:]//pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid=&bundle=&ip=&ua=&cb=5c1236f316e45

被替換後變成：

http[:]//pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid=260903559217b3a8&bundle=com.amz.wildcats&ip= 203.90.248.163&ua=Mozilla/5.0 (Linux; Android 6.0.1; MuMu Build/V417IR; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/52.0.2743.100 Mobile Safari/537.36&cb=5c1236f316e45

總結

因為網路犯罪分子會操作APP特徵來盈利、竊取信息和發起攻擊，因此用戶應該注意下載和安裝的APP。手機設備更應該安裝殺毒軟體、安全衛士這樣的軟體來應對潛在的安全風險。

IoCC2伺服器

http[:]//myukka.com/v2/xfeeds.php

http[:]//198.1.125.77/tracking/config.php

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！