研究人员发现Google Play中有很多APP伪装成合法的语音消息平台，其中有些应用可以自动弹出伪造的调查文件，有的可以伪造欺骗性的广告点击。这些恶意应用和恶意软件的变种从今年10月开始应用，随后不断进化，加入了绕过技术和多个阶段。分析的样本的模块化能力被标记为version 1.0，研究人员推测攻击者正在开发新的功能，并在之后的恶意活动中进行更新。

目前的感染数量还不是很多，但上传和用户下载量非常大，考虑到手机生态的快速开发迭代和传播，研究人员建议持续关注这一威胁。

截止目前，大多数的fake应用已经下线了，本文就一部分样本进行分析以显示其通用行为。7个识别的APP ID的样本都含有相同的代码和行为，因此研究人员猜测攻击者正在开发新的模块并会在未来应用到更多恶意APP中。

图 1. Google Play中伪装为合法声音消息软件的APP

图 2. 恶意voice messenger app安装了超过1000

行为分析

上传到Google Play后，应用尝试使用轻量级的模块化下载器来入侵未知的用户设备。因为这些APP的上传人是不同的，但代码是类似的，因此研究人员怀疑这些APP都来自于同一个作者。APP下载后，第一个组件会连接到C2服务器，任何解密和执行payload。

图 3. Payload执行顺序

Payload执行顺序如下：

1.Icon模块会隐藏应用的图标以防止用户卸载应用。

图 4. 隐藏图标

2.Wpp模块会打开浏览器来访问任意URL：

图 5. 模块收集浏览器中的特定URL

在分析样本时，APP会展示虚假的调查问卷表单来收集用户个人信息来交换礼品卡，包括姓名、电话、手机号、家庭住址等信息。调查问卷表单会通过设备默认浏览器加载。如果无法识别默认浏览器，问卷就会根据C2响应的任一浏览器加载，包括Boat, Brave, Chrome, Cheetah, Dolphin, DU, Firefox, Jiubang Digital Portal, Link Bubble, Opera, Opera Mini, Puffin和UC。

图 6. 收集用户信息的伪造app

WPP还会通过随机的APP touch事件来生成欺骗性的广告点击。

图 7. 用于欺诈性的广告点击的随机app touch事件

3. Socks模块功能就是一个动态库，融合了C-Ares和域名解析功能。虽然研究人员没有发现其与服务器通信，但研究人员认为该功能正在开发中。

图 8. 融合了 C-Ares的Socks模块

总结

Google已经确认将这些恶意APP从应用商店中移除了。但研究人员认为这类潜在威胁还在，攻击者会不断的加入新的功能，尤其是避免检测的功能。恶意软件证明了犯罪分子可以轻易的伪造数字威胁特征通过APP攻击移动设备。移动设备应该安装综合性的安全软件来应对移动端恶意软件。