首页 >> 网络安全 >>病毒分析 >> 在Google Play上找到了49种具有优化回避功能的伪装广告软件应用
详细内容

在Google Play上找到了49种具有优化回避功能的伪装广告软件应用

我们最近在Google Play上发现了49种新的广告软件应用,它们伪装成游戏和时尚相机。这些应用程序是典型的广告软件,它们隐藏在移动设备中以显示广告并部署防卸载和逃避功能。这些应用程序不再可用,但是在被Google拒绝之前,下载总数已超过300万。


这次最近的事件延续了移动广告软件激增的持续趋势–仅在去年八月,我们发现了85个假摄影和游戏广告软件应用程序,它们也采用了独特的技术来逃避检测。对于移动公司来说,这些广告软件应用程序一直是一个长期存在的问题。Google需要一波又一波地淘汰广告-在8月份发布一批广告软件应用之前,七月份还发现了100多种广告软件应用,一月份该广告软件影响了超过900万用户。多年来,我们一直密切关注移动广告软件欺诈行为,并发现这些类型的应用程序在2018年也非常普遍。新版本仍在不断上载,我们将继续监视其进度。

1.jpg

图1. Google Play上的广告软件应用

行为分析

与我们之前的披露类似,这些最新的应用程序伪装其图标并将全屏广告推送到受害者的设备上。用户无法使用通常的方法退出广告-只能通过单击返回或主页键将其关闭。

2.jpg

图2.代码的屏幕截图显示了如何隐藏或删除恶意应用程序的图标

3.jpg

图3.屏幕快照显示了全屏广告

很明显,这些应用程序配备了几种有效的规避策略。他们尝试通过以下技术来躲避安全解决方案的静态和动态分析:

  • 代码被大量混淆。(图4)

  • 字符串不仅由base64编码,而且还使用自定义算法(以包名称为键)进行加密。(图5)

  • 广告软件快捷方式伪装成流行的默认浏览器,并使用与默认浏览器相同的图标。但是,单击该按钮实际上会打开一个广告页面,并创建许多快捷方式来污染主屏幕。(图6、7、8)

  • 对于较高和较低的OS版本,它将采取不同的操作,尤其是在创建快捷方式时。(图10)这可能是因为在Android OS 8.0发布之后,Google收紧了快捷方式的权限。用户必须征得同意,否则应用无法创建快捷方式。(图11)

  • 该广告软件通过StartForgroundService功能(在Android OS 8.0之后部署)保持活动状态。它会将自己注册为前台服务,这意味着即使用户未与之交互也可以运行。当内存不足时,这也降低了被杀死的机会。基于此操作,我们可以说广告软件一直在发展,并始终适应新的OS功能和更新。

  • 触发恶意操作的延迟时间延长。

4.jpg

图4.代码混淆

5.jpg

图5.代码的屏幕截图显示了使用自定义算法进行加密的过程,其中包名称为密钥(左),而较低版本中则没有加密(右)

6.jpg

图6.代码的屏幕截图显示了常见的默认浏览器列表

7.jpg

图7.屏幕快照显示该应用程序可以创建重复的快捷方式

如前所述,广告软件应用程序将创建许多重复的浏览器图标快捷方式。例如,当点击假的Chrome图标时,它将打开一个空白网页,然后页面刷新为全屏广告。


看到全屏广告后,用户可以尝试单击“最近的屏幕”按钮以检查其来源或关闭广告。但是,没有显示任何信息,也没有有关广告来源的线索。这种策略可以帮助广告软件伪装自己。此外,广告软件图标本身已对用户隐藏,这使得查找和卸载应用程序变得困难。

8.jpg

图8.屏幕截图显示了伪装成Chrome浏览器的重复快捷方式(左),单击伪造图标后打开的全屏广告(中心)以及“最近的屏幕”部分,其中仅显示空白(右)


广告软件制造商在Activity类中使用新的setTaskDescription(…)方法。它可用于在“最近的屏幕”部分中设置任务标题和任务图标的显示。对于此特定的广告软件,它将标题和图标设置为不可见。如图8(右)所示,单击“最近的屏幕”按钮时,只有一个黑条,没有显示页面。

9.jpg

图9.屏幕截图显示了如何将标题设置为空以及如何将图标设置为不可见

10.jpg

图10.代码显示了针对较高和较低操作系统版本的不同操作

11.jpg

图11.用户在Android OS 8.0上创建快捷方式的请求

广告软件的代码还可以提供最大的展示次数,还可以设置广告在用户手机上展示的间隔时间。


从许多Google Play评论中,我们发现了不同的举报行为:全屏广告每隔几分钟弹出一次;当用户单击屏幕上的任意位置时,广告就会弹出;每当用户解锁受感染手机的屏幕时,广告就会显示(操作系统会将通知“ android.intent.action.USER_PRESENT”发送到应用,并会显示广告)。

12.jpg

图12. Google Play评论的屏幕截图,描述了广告软件加载的应用程序的行为

这种行为不仅使用户烦恼。不断弹出的广告不断显示会消耗手机的电量,这已经存在了多年。它还将影响内存:由于正在运行的进程被视为前台服务,因此系统将其视为用户主动意识到的事情,即使设备内存不足,也不会终止它。这也是有问题的,因为该应用程序难以卸载,使用逃避技术向用户隐藏了自己。删除屏幕上显示的虚假浏览器快捷方式不会删除该应用;相反,用户必须转到电话设置并在“应用程序”部分中找到该应用程序以将其卸载。


解决方案和安全建议

幸运的是,制造商非常了解广告软件的滋扰,并不断安装新的修复程序来帮助用户避免使用这些应用程序。如上所述,在安装快捷方式之前,Android OS 8.0和更高版本需要用户同意。用户应始终保持软件和操作系统的更新,以便他们可以从软件公司的最新安全解决方案中受益;并且在保护移动设备安全时,他们还应采用最佳做法。应用程序评论也是质量的良好指标-它们可以帮助举起危险行为的危险信号。


用户还可以从可以阻止隐身广告软件的安全解决方案中受益,例如阻止恶意应用程序的趋势科技™Android移动安全性(也可在Google Play上获得)解决方案。最终用户还可以从其多层安全功能中受益,该功能可以保护设备所有者的数据和隐私,并保护其免受勒索软件,欺诈性网站和身份盗用的侵害。


对于组织,趋势科技企业移动安全套件提供设备,法规遵从性和应用程序管理,数据保护以及配置设置。它还可以保护设备免受利用漏洞的攻击,阻止对应用程序的未经授权访问以及检测和阻止恶意软件和欺诈性网站。趋势科技的移动应用程序信誉服务(MARS)使用领先的沙箱和机器学习技术来覆盖Android和iOS威胁,以保护用户免受恶意软件,零日漏洞和已知漏洞,隐私泄露和应用程序漏洞的侵害。


危害指标(IoC)在此附录中。

技术支持: 建站ABC | 管理登录