导语:Check Point研究人员在Google Play应用商店中发现了60多款游戏app中存在恶意代码,而这些游戏app中许多都是针对儿童的。
Check Point研究人员在Google Play应用商店中发现了60多款游戏app中存在恶意代码,而这些游戏app中许多都是针对儿童的。根据Google Play的统计数据,这些应用的下载量在300万~700万之间。
工作原理
因为恶意软件会展示色情广告,所以我们叫称之为‘AdultSwine’,恶意软件的活动包括:
1. 展示广告,而这些广告大多是色情的或少儿不宜的;
2. 诱使用户安装伪造的安全应用;
3. 诱使用户注册付费服务;
除了这三个主要的活动,恶意代码还会利用基础设施来完成其他的功能,比如凭证窃取。
图 1: AdultSwine操作流
恶意软件安装后,会等待重启或者锁屏的操作,此时恶意软件就会开始恶意行为了。
不合法、不合适的广告
首先,恶意代码会与C&C服务器联系,报告成功安装的状态,发送被感染设备的数据并接受配置数据,这些配置数据将决定接下来可以进行什么样的操作,具体包括是否隐藏图标、在哪些应用中展示哪些广告等。恶意软件的开发人员有一个很聪明的行为就是,配置数据中不会在浏览器、社交网络等特定的应用中展示广告,这样做的目的是避免被用户怀疑。
然后,恶意代码会验证关于设备状态的特定条件,检查当前屏幕运行的应用。一旦条件符合,就开始在应用的内容外展示一些不合法的广告。如果恶意代码嵌入在web浏览器应用中,那么广告就会展示在浏览器中;如果不是,广告就会展示在指定的web view中。
广告的来源有两种,第一种是来源于应用的广告提供商,他们是禁止显示非法广告的;第二种是恶意代码自己的广告库,库中含有攻击性的广告,包括色情广告。当儿童在玩游戏时,这两种广告都会显示给与用户。
图 2: 恶意软件显示的广告和Google Play中用户的评论
Scareware欺骗用户安装的技巧
恶意代码的另一个行为是诱使用户安装非必要的、甚至有害的“安全应用”。
首先,恶意应用会显示一个广告提示用户的设备被病毒感染。用户一旦点击“Remove Virus Now”,就会被重定向到Google Play应用商店中,有经验的人都可以看出这是一种骗术,但是小孩子可能不会识别出来。
图 3 –1 Scareware 广告
图 3 –2 重定向的Google Play中的应用
图 3 –3 Google Play中的用户评论
注册付费服务
恶意应用的另一个功能就是注册付费服务,有一些服务是欺诈性质的,而且是用户没有要求发送或接受的。恶意应用会显示一些弹出广告,诱使用户点击。
下面是一个例子,弹出的广告说用户回答4个简单的问题就可以赢得一个iPhone。用户回答后,恶意代码就会显示用户回答正确并赢取一个iPhone。下一步就要求用户输入手机号码来领取奖品。一旦用户输入,恶意代码就会用输入的号码来注册付费服务。
威胁分析
目前来看,该恶意应用可恶至极,会从感情和金钱上对用户造成伤害。从原理上分析,攻击流非常简单,恶意代码从C&C服务器获取目标连接代码,然后展示给用户。有时候这些链接仅仅是个广告,但是也可能会被黑客用来进行社会工程学攻击。虽然这些应用是从Google Play这样的官方可信源下载的,但是也存在这样的安全问题。(看来Google Play等官方应用商店对上架应用的审查力度要加强了!)
附恶意应用名和下载量:
一些恶意应用的hash值:
更多参见https://research.checkpoint.com/malware-displaying-porn-ads-discovered-in-game-apps-on-google-play/