廣告惡意軟體偽裝成遊戲、遠程控制APP感染900萬Google play用戶

研究人員在Google play中發現85個活躍的廣告惡意軟體家族，偽裝成遊戲、TV和遠程控制模擬器APP，感染了超900萬Google play用戶。

廣告惡意軟體是很煩人的，但是又時常出現，而且無法完全解決。研究人員最近發現一個廣告惡意軟體家族在Google play中偽裝成遊戲、TV和遠程控制模擬器APP。該廣告惡意軟體家族可以展示全屏廣告、隱藏自己、監控手機設備解鎖、後台運行。截止目前，該惡意軟體家族的85個APP下載次數已經超過900萬次。Google在驗證了trendmicro的報告後，已經將這些APP從應用商店刪除了。

圖 1. Google Play中的廣告惡意軟體APP

Easy Universal TV Remote應用程序稱可以讓用戶使用智能手機來控制TV，在這85個APP中的下載次數最多。

圖 2. Easy Universal TV Remote app和相關信息

該APP目前下載次數已經超過500萬次，評論區也有用戶反映功能與描述不符合。

圖 3. 評論區用戶反映功能與描述不符

行為分析

研究人員測試了與該廣告惡意軟體家族相關的APP，發現這些APP雖然來自不同的開發者，APK cert公鑰不同，但是有類似的惡意行為並共享部分代碼。

下載的廣告惡意軟體啟動後，就會出現一個全屏廣告。

圖 4. 感染廣告惡意軟體的設備展示全屏廣告

在關閉廣告後，start、open app、next按鈕調用都會在手機設備屏幕上產生廣告。點擊調用按鈕會產生另一個全屏的廣告。

圖 5. 調用按鈕會出現全屏廣告

圖 6. 調用按鈕彈出全屏廣告

用戶退出全屏廣告後，提供給用戶關於APP更多操作動作的按鈕會出現在用戶屏幕上。廣告惡意軟體也會建議用戶在APP 5星好評。如果用戶點擊任意一個按鈕，全屏廣告會再一次彈出。

圖 7. 用戶點擊APP相關按鈕的截圖

之後，APP會通知用戶系統或設備正在載入或緩存。但幾秒鐘後，APP會從用戶屏幕上消失，並會在設備上隱藏其圖標。在屏幕上消失後APP還會在後台繼續運行。雖然隱藏了，但廣告惡意軟體會被配置為每隔15或30分鐘內在用戶設備上顯示全屏廣告。

圖 8. 廣告惡意軟體消失前的截圖

圖 9. 廣告惡意軟體隱藏所用的部分代碼

其中一些惡意APP還有其他類型的廣告展示，包括監控用戶屏幕解鎖行為，每當用戶解鎖手機屏幕後就出現一次廣告。接收器模塊會在AndroidManifest.xml中註冊，這樣每當用戶解鎖設備後就可以觸發一個全屏廣告和彈框。

圖 10. 惡意APP在後台運行

圖 11. AndroidManifest.xml中註冊的接收器

圖 12. 用戶解鎖屏幕後展示全屏廣告的代碼

圖 13. 解鎖受感染的設備後展示全屏廣告

總結

雖然這些廣告惡意軟體可以通過手機APP的卸載服務進行手動刪除，但是因為廣告是每15-30分鐘展示一次或當用戶解鎖設備屏幕時顯示，因此很難發現然後去檢測然後卸載。隨著人們越來越依賴手機設備，廣告惡意軟體也越來越成為一種更重要的威脅。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！