最近,趋势科技在Google Play应用商店中发现了15款存在广告点击欺诈行为的壁纸应用。在撰写本文时,这些应用已经被下载了222,200多次。趋势科技的遥测数据显示,受感染的用户主要集中在意大利、中国台湾、美国、德国和印度尼西亚。目前,谷歌已经确认并下架了所有这些应用。

图1. Google Play应用商店中的恶意壁纸应用

以下是完整列表:

行为分析

总的来说,这些应用都被设计得十分精美,并表示可以为用户提供大量漂亮的壁纸。值得注意的是,这些应用本身也拥有很高的用户评价和大量的好评,但趋势科技怀疑这些好评都是刷出来的,旨在诱使用户下载。

图2.Wild Cats HD Wallpaper app已经被下载了超过10,000次,在Google Play商店中的评分为4.8。

在被下载之后,这些应用就会解码其命令和控制(C&C)服务器的地址。

图3.解码C&C服务器的地址

整个过程是在后台静默完成的,因此不会引起用户的注意。一旦应用启动,就会向C&C服务器发送一个HTTP GET请求,以获取一个JSON格式的feed列表。

图4.整个过程在后台静默完成

图5. C&C服务器的响应

当这个feed列表运行时,每一个初始化的feed和object都包含fallback_URL、type、UA、URL、referer、x_requested_with和keywords。

图6.初始化的feed列表

然后,这些应用会从Google Play Services获取Advertising ID,并替换URL中的一些参数——使用Advertising ID替换ANDROID_ID,将BUNDLE_ID替换为应用的包名,将IP替换为受感染设备的当前IP等。在所有参数替换完成之后,这些应用将根据type加载URL。

图7.构造欺诈性的fallback_URL

在加载URL时,浏览器背景将被设置为透明。

图8.浏览器背景被设置为透明

在加载URL之后,这些应用就会开始模仿广告页面上的点击行为。

图9.模仿广告点击

简单来说,网络罪犯分子就是通过替换参数来获取非法收益的。谷歌为Android开发者提供的ID(如Advertising ID、Advertiser ID、device ID等),是针对用户的匿名标识符,用户可以通过这些标识来使自己开发的应用拥有获取广告收益的能力。而这些恶意壁纸应用通过将 ANDROID_ID、BUNDLE_ID、IP、USER_AGENT替换为Advertising ID、应用包名、当前IP和当前浏览器的用户代理构建了一个欺诈性的fallback_URL,进而模仿广告点击来执行广告点击欺诈行为。例如,如果原始URL是:

http://pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid={ANDROID_ID}&bundle={BUNDLE_ID}&ip={IP}&ua={USER_AGENT}&cb=5c1236f316e45

那么,它将被替换为:

http://pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid=260903559217b3a8&bundle=com.amz.wildcats&ip= 203.90.248.163&ua=Mozilla/5.0 (Linux; Android 6.0.1; MuMu Build/V417IR; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/52.0.2743.100 Mobile Safari/537.36&cb=5c1236f316e45

解决方案

作为普通用户,我们必须时刻保持网络安全意识,并仔细查看下载的应用程序,因为网络犯罪分子必然将继续通过某些应用程序的功能来获取非法收益、窃取信息,以及实施攻击。此外,我们有必要对自己的移动设备进行全面的安全防护(从系统到应用程序),以防御移动恶意软件。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。