趨勢科技於本週披露稱,Google Play商店上的幾款通過僞裝成合法語音聊天平臺上傳的應用程序具有可疑的自動功能,比如虛假調查的自動彈出和欺詐性廣告點擊。自10月份以來,這些惡意應用程序及其更新版本被陸續上傳,期間的演變包括安全檢測逃避技術以及感染過程被分爲多個階段。
雖然大部分虛假應用程序已經被下架,但趨勢科技認爲還是有必要以其中一個應用程序爲例,以展示了它們的共同惡意行爲。七款虛假應用程序所包含的所有惡意軟件樣本都具有類似的編碼和行爲,這讓趨勢科技懷疑網絡犯罪分子正在開發額外的模塊,並將上傳更多的惡意應用程序。
圖1.其中一款通過僞裝成合法語音聊天平臺上傳到Google Play商店的應用程序
圖2.該應用程序的安裝量超過1千次
惡意行爲
趨勢科技表示,該應用程序(由趨勢科技檢測爲AndroidOS_FraudBot.OPS)試圖通過使用輕量級模塊化下載程序(downloader)來破壞不知情用戶的設備。雖然這些應用程序的發佈者不同,但趨勢科技懷疑他們來自同一個開發者,因爲他們的代碼彼此相似。在下載並安裝之後,第一個組件會與C&C服務器連接,然後解密並執行有效載荷(payload)。
圖3.有效載荷按順序執行
具體來講,有效載荷將按一下順序執行:
1.名爲“Icon”的模塊會隱藏應用程序的圖標,以防止用戶卸載它。
圖4.隱藏圖標
2.名爲“Wpp”的模塊可以打開瀏覽器,以訪問任意URL。
圖5.該模塊會收集在瀏覽器中找到的特定URL
在趨勢科技分析該樣本時,應用程序會顯示虛假的調查表格,以收集用戶的個人身份信息(PII),如姓名、電話號碼和家庭住址,聲稱可以換取禮品卡。虛假調查表格使用設備的默認瀏覽器加載,如果無法識別默認瀏覽器,則會通過以下任何瀏覽器加載,包括Boat browser、Brave、Chrome、Cheetah、Dolphin、DU、Firefox、Jiubang Digital Portal、Link Bubble、Opera、Opera Mini、Puffin和UC。
圖6.用於收集用戶信息的虛假調查表格
此外,“Wpp”模塊還會通過隨機應用程序觸摸事件來生成欺詐性廣告點擊。
圖7.用於欺詐性廣告點擊的隨機應用程序觸摸事件
3.名爲“Socks”的模塊被用作動態庫,它與C-Ares(用於異步DNS請求的C庫)集成在一起。雖然趨勢科技暫時還沒有觀察到其與C&C服務器的通信,但他們認爲這是因爲此功能正處於開發階段。
圖8. Socks與C-Ares集成在一起
總結
目前,谷歌已經從其官方應用商店中刪除了這些惡意應用程序。但趨勢科技表示,這羣網絡犯罪分子很可能正在爲未來的惡意活動(如殭屍網絡***)添加更多功能和更新,特別是安全檢測逃避技術。這一事件也證實,網絡犯罪分子仍然可以通過惡意應用程序來***移動設備。這也再一次證明,移動設備用戶很有必要爲自己的設備配置適用的防病毒產品,以抵禦此類移動惡意軟件。