投稿者:Martin Zhang
概要:Google Play上的三种应用程序利用延迟进攻、自命名诈骗,以及命令和控制服务器指定的攻击列表,在用户不知情的情况下在后台点击广告。
赛门铁克研究人员在 Google Play 上发现了三种恶意程序。这些恶意程序可以在手机后台运行时对广告进行点击,从而赚取广告收益。这三种应用程序使用了三种不同的技术(延迟进攻、自命名诈骗,以及命令和控制服务器[C&C]指定的攻击列表)。这三种技术通常单独使用,很少发现其一起出现。赛门铁克检测这些威胁为Android.Fakeapp。我们已经向谷歌通知有关这些应用程序的事宜,随后谷歌将这几个程序从Google Play上删除。
这三种恶意程序在Google Play 上使用以下软件包和应用程序名称:
- com.sarabase.clearmaster.speedbooster (Clear Master Boost and Clean)
- com.desive.fastercharger.fastcharger (Fast Charge 2017)
- com.qt.fastercharger (Fast Charger X3 Free)
Google Play声称北美用户对 Fast Charge 2017和Fast Charger X3 Free的安装次数在10,000 至 50,000次之间,对Clear Master Boost and Clean 的安装次数在5,000至10,000次之间。
使用虚假名称隐藏
在安卓平台上,应用程序对于不同接口来说可以有多种形式。这些特定的应用程序在主界面上使用一个名称,同时还使用不同的进程名称进行隐藏。在我们遇到的一个例子中,该应用程序在主界面上名为‘Fast Charger’,然而在‘设置 > 应用程序’中却叫做‘android’。该应用程序在启动器中自行删除后,留下的只有一个名为‘android’的进程,因此用户不太可能强制退出该程序。
图1.该应用程序在主界面上以‘Faster Charger’的名称隐藏,在进程界面以‘android’的名称隐藏
受网络攻击者控制的恶意软件
与其他很多恶意软件一样,这些应用程序听令于互联网上的命令和控制服务器。在这种情况下,恶意软件将接收一份列表,上面列出可布置的应用程序布、相关延迟时间和要连接的广告服务器。随后,所述应用程序将针对此列表进行自我检验并做出相应动作。凭借这种信息,恶意应用程序可在用户不知情的情况下在后台点击广告,从而为网络攻击者牟利。网络攻击者可使用设备中的恶意程序对赚钱较少的恶意软件进行升级,并对新配置加以测试。
这种恶意软件通过延迟触发恶意行为的方法欺骗用户,使其认为所发现的奇怪行为是随后安装的其他应用程序导致而成。因为延迟时常会导致动态分析在检测到威胁时退出,因此这种机制还会阻碍使用动态分析的视频程序的请求。
变身为设备管理员
这些应用程序最后将向用户请求获取设备管理员的权限。如果用户受骗后点击‘确定’,则本隐藏于启动器中的恶意应用程序将变得更难定位和禁用。
使用诺顿手机安全软件进行自我保护
诺顿手机安全软件(Norton Mobile Security)使用静态及动态分析、机器学习和行为识别等技术识别各种恶意程序,并对全世界数百万用户提供保护。除了传统保护功能之外,诺顿手机安全软件还具有应用顾问(App Advisor)功能。该功能可在用户在Google Play上购买应用程序时,针对恶意软件和灰色软件发出警告。
图2.App Advisor 发出的恶意应用程序警告
缓解措施
为了使用户免受手机恶意程序的影响,赛门铁克建议用户遵守以下最佳经验:
- 及时对您的软件进行更新
- 不在陌生网站下载应用程序
- 仅安装来自受信任来源的应用程序
- 密切关注应用程序所请求的权限
- 安装像诺顿这样的适当手机安全应用程序,从而保护您的设备和数据
- 经常对重要数据进行备份
保护
赛门铁克和诺顿产品检测本篇博文所述之威胁为Android.Fakeapp。