导语:研究人员在Google play中检测到15个进行点击广告欺诈的墙纸APP。截止发文,这些APP下载次数超过22万次,主要分布于意大利、中国台湾、美国、德国、印尼等国家和地区。
研究人员在Google play中检测到15个进行点击广告欺诈的墙纸APP。截止发文,这些APP下载次数超过22万次,主要分布于意大利、中国台湾、美国、德国、印尼等国家和地区。目前Google已经将这些应用从应用商店移除了。
图1. Google Play中的恶意APP
行为分析
这些APP的图标都是非常漂亮的手机墙纸,而且这些APP的评价都很高;但研究人员怀疑这些评论都是假的。
图2. 动物HD墙纸APP下载次数超过1万次
该APP在Google play应用商店中的评分为4.8/5分。
下载后,APP会从配置文件中解码出C2服务器地址。
图3. C2服务器地址解码和运行
整个过程都是悄悄执行的,用户并不会发现。APP启动后,会创建HTTP GET请求与C2服务器建立连接,获取JSON格式列表。
图4. 整个过程是mute的
图5. C&C服务器响应
Feed运行后,每个初始化的feed和对象都包含fallback_URL, type, UA, URL, referer, x_requested_with和keywords。
图6. 初始化的feed列表
然后APP会从Google Play服务中获取广告ID,并替换广告ID的URL、ANDROID_ID,用欺诈的APP包名替换BUNDLE_ID,将IP替换为受感染设备的当前IP。替换后,URL会按照类型来加载。
图7. 构建欺诈的fallback_URL
加载URL后,浏览器背景会被设为透明的(transparent)。
图8. 背景被设为透明的(transparent)
URL加载后,APP会模拟点击广告页面。
图9. 模拟广告点击
网络犯罪分子通过替换参数值来盈利。Google为安卓开发者提供的ID都是匿名的,可以被用来获利,这些ID包括advertising ID, advertiser ID和device ID。APP用ad ID、app package name、当前IP、当前浏览器的用户代理替换了ANDROID_ID, BUNDLE_ID, IP, USER_AGENT。这些都在配置文件中的fallback_URL中,用来创建虚假点击的欺诈 fallback_URL。比如,原来应该是:
http[:]//pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid={ANDROID_ID}&bundle={BUNDLE_ID}&ip={IP}&ua={USER_AGENT}&cb=5c1236f316e45
被替换后变成:
http[:]//pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid=260903559217b3a8&bundle=com.amz.wildcats&ip= 203.90.248.163&ua=Mozilla/5.0 (Linux; Android 6.0.1; MuMu Build/V417IR; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/52.0.2743.100 Mobile Safari/537.36&cb=5c1236f316e45
总结
因为网络犯罪分子会操作APP特征来盈利、窃取信息和发起攻击,因此用户应该注意下载和安装的APP。手机设备更应该安装杀毒软件、安全卫士这样的软件来应对潜在的安全风险。
IoC
C2服务器
http[:]//myukka.com/v2/xfeeds.php
http[:]//198.1.125.77/tracking/config.php