Google Play从市场中删除了二十二个下载量超过200万的应用程序,研究人员发现它们包含一个恶意后门,允许这些应用偷偷从攻击者控制的服务器下载文件,恶意点击模块里面的广告。
Google Play
“严重伤害”设备
当谷歌在11月底删除这些应用时,他们被用来无休止地点击欺诈性广告。“Andr / Clickr-ad”,正如Sophos(反病毒提供商)称之为应用程序系列,即使在用户强行关闭它们之后也会自动启动和运行,这些功能导致应用程序消耗大量带宽并耗尽电池电量。
Andr / Clickr-ad是一种组织良好的持久性恶意软件,有可能对最终用户以及整个Android生态系统造成严重伤害。这些应用会产生欺诈性请求,导致广告网络因虚假点击而产生大量收入。
从用户的角度来看,这些应用程序耗尽了手机的电量,并可能导致数据过剩,因为应用程序在后台不断运行并与服务器通信。此外,设备完全由C2服务器控制,并且可以根据服务器的指令安装任何恶意模块。
这些应用程序通过向受攻击者控制的域名mobbt.com进行报告,受感染的手机会下载广告欺诈模块并每隔80秒接收一次特定命令。这些模块导致手机点击了大量托管欺诈性应用的链接。为了防止用户怀疑他们的手机被感染,应用程序在零像素高和零宽的窗口中显示广告。
为了让欺诈广告客户误以为点击来自更大的真实用户群,Andr / Clickr-ad操纵的用户代理字符串构成了在各种手机(包括iPhone)上运行的各种应用。下图显示了在Android虚拟设备上运行的恶意应用程序,该应用程序标识自己在iPhone上运行。
伪造成iPhone
许多恶意Google Play应用都是由在iOS App Store中拥有游戏的开发者制作的。他们的游戏里面加入了大量的广告功能(SDK)。
下面显示的捕获流量也来自Android虚拟设备,显示Andr / Clickr-ad滥用Twitter的广告网络冒充三星Galaxy S7上运行的广告:
冒充三星Galaxy S7上运行广告
最大化利润,分散欺诈行为
Sophos观察到服务器数据导致欺诈性点击看起来好像来自iPhone 5到8 Plus的Apple型号以及来自33个不同品牌的Android手机,iPhone标签可能允许诈骗者获得更高的价格。
为确保获得最大利润,Andr / Clickr-ad应用程序被编程为每次重新启动受感染的手机时都会自动运行,方法是使用BOOT_COMPLETED广播。如果用户强制关闭应用程序,开发人员会在三分钟后创建一个同步适配器以重新启动应用程序。应用程序每80秒检查一次新的广告命令,并且每10分钟检查一次新的模块下载。
Sophos列出的22个应用程序是:
22个应用名单
你们快来看看中招了没有?赶紧卸载呀!!?
来源:熊出漠
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!