Google Play 现多款恶意 App

Trend Micro 研究人员近期在 Google Play 中发现了多个恶意优化、加速和小工具 app,这些 app 可以访问远程广告配置服务器、执行手机广告欺诈、在受害者设备上下载多达 3000 款恶意软件变种和恶意 payload。这些恶意 app 自称通过清理、组织和删除文件达到增强设备性能的目的,目前累计下载超过 47 万次。数据显示,该攻击活动自 2017 年开始活动,目前 Google Play 官方已经从应用商店中移除了相关的恶意 app。

研究人员分析发现,攻击活动可以在受害者设备上下载超过 3000 款恶意软件变种和恶意 payload,这些 app 安装后会以系统应用的形式存在,不在设备启动器中出现应用图标,也不出现在应用列表中。攻击活动背后的犯罪分子可以用受感染的设备来发布对恶意 app 的虚假好评,通过点击弹窗来执行多起广告诈骗活动。

Google Play 现多款恶意 App

图 1. Google Play 中发现的恶意 app

Google Play 现多款恶意 App

注:红色节点表示被多个安全厂商检测到

Google Play 现多款恶意 App技术分析

其中一个恶意 app 名为 Speed Clean,提供所谓的设备加速功能。在使用 app 时,会在 app 中弹出广告,看起来是手机应用的正常行为。

Google Play 现多款恶意 App

图 3. Speed Clean app 显示的广告

但研究人员也发现了受影响设备中出现的恶意行为。Speed Clean app 可以启动一个透明的活动背景来隐藏恶意内容,这样用户就看不到恶意行为和内容了。

Google Play 现多款恶意 App

Google Play 现多款恶意 App

图 4. 让恶意 app 启动透明活动背景的代码

之后,Java package “com.adsmoving”下的恶意服务“com.adsmoving.MainService”会与远程广告配置服务器建立连接,并注册新的恶意安装。

注册完成后,Speed Clean 会开始向用户推送恶意广告内容。比如,恶意广告内容和木马会出现在 app 的“Recommend Pages”部分。

Google Play 现多款恶意 App

Google Play 现多款恶意 App

图 5. 显示恶意服务“com.adsmoving.MainService”的代码

Google Play 现多款恶意 App

Google Play 现多款恶意 App

图 6. 恶意 app 流量内容截图

即使在安装了“alps-14065.apk”后,也不会在设备启动器出现图标或设备应用安装列表中出现。但是会在 Downloaded Apps 中添加一个 名为 com.phone.sharedstorage 的 app。

Google Play 现多款恶意 App

图 7. “Downloaded Apps”中的恶意木马 APK

与研究人员 2017 年发现的恶意软件家族 ANDROIDOS_TOASTAMIGO 类似,恶意 Speed Clean app 可以下载执行不同广告欺诈的恶意软件变种或 payload。攻击活动中使用的一些典型恶意广告欺诈行为包括:

1、模拟用户点击广告。这些恶意 app 会融入大量的合法手机广告平台,比如 Google AdMob、Facebook Audience Network 等。

Google Play 现多款恶意 App

图 8. AndroidOS_BoostClicker.HRX 使用“sendPointerSync” API 来模拟用户点击广告的逆向和反混淆后的代码

2、从手机广告平台安装有奖励的 app 到虚拟环境以防被用户检测到。

Google Play 现多款恶意 App

图 9. AndroidOS_BoostClicker.HRX 使用 VirtualApp 安装有奖励的 app 的逆向和反混淆后的代码

3、诱使用户在受影响的设备启动 accessibility 权限和关闭 Google Play 保护的安全保护功能。这可以保证恶意 payload 可以在不被用户发现的情况下下载和安装更多的恶意 app。

Google Play 现多款恶意 App

图 10. AndroidOS_BoostClicker.HRX 使用 accessibility 权限关闭 Google Play Protect 安全保护特征的逆向和反混淆后的代码

4、使用受影响的设备的 accessibility 功能可以发布对优化器和小工具 app 的虚假好评。

Google Play 现多款恶意 App

Google Play 现多款恶意 App

图 11. AndroidOS_BoostClicker.HRX 使用 accessibility 功能发布对 AndroidOS_BadBooster.HRX 的虚假好评的代码

5、使用 accessibility 功能用 Google 和 Facebook 账户登陆新安装的恶意 app。

accounts.

Google Play 现多款恶意 App

Google Play 现多款恶意 App

图 12. AndroidOS_BoostClicker.HRX 使用 accessibility 功能用 Google 和 Facebook 账户登陆新安装的恶意 app 的代码

研究人员分析了 2017 年起与该攻击活动有关的恶意 payload 和恶意软件变种。

Google Play 现多款恶意 App

表 1. 2017 年到 2020 年 1 季度下载的恶意软件变种和恶意 payload 数

研究人员分析发现受该活动影响最大的国家和地区是日本、中国台湾、美国、印度和泰国。

Google Play 现多款恶意 App

表 2. 过去 3 个月每个国家的感染数量

研究人员修改了国家代码的地理位置参数值,甚至不存在的随机的国家代码,远程广告配置服务器仍然会返回恶意内容。但研究人员将地理位置参数值设置为中国(geo=cn (China))时,就不返回恶意内容了。

Google Play 现多款恶意 App

图 13. 将地理位置参数设置为中国后,不返回恶意广告内容了

Google Play 现多款恶意 App安全建议

广告欺诈活动将将恶意 app 伪装称合法的 app 来欺骗用户,所以用户在下载 app 前需要注意。可以通过应用商店的用户评论验证 app 的合法性。在本例中,恶意 app 会下载可以发布伪装好评的虚假评论。但这种虚假好评也会留下痕迹,因此用户需要注意。

本文参考自:https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-apps-on-google-play-communicate-with-trojans-install-malware-perform-mobile-ad-fraud/

Google Play 现多款恶意 App

Google Play 现多款恶意 App