Play商店再次曝光多款偽裝欺詐應用,或有大規模攻擊行動正在醞釀
趨勢科技於本週披露稱,Google+Play/">Google Play商店上的幾款通過偽裝成合法語音聊天平臺上傳的應用程式具有可疑的自動功能,比如虛假調查的自動彈出和欺詐性廣告點選。自10月份以來,這些惡意應用程式及其更新版本被陸續上傳,期間的演變包括安全檢測逃避技術以及感染過程被分為多個階段。
雖然大部分虛假應用程式已經被下架,但趨勢科技認為還是有必要以其中一個應用程式為例,以展示了它們的共同惡意行為。七款虛假應用程式所包含的所有惡意軟體樣本都具有類似的編碼和行為,這讓趨勢科技懷疑網路犯罪分子正在開發額外的模組,並將上傳更多的惡意應用程式。
圖1.其中一款通過偽裝成合法語音聊天平臺上傳到Google Play商店的應用程式
圖2.該應用程式的安裝量超過1千次
惡意行為
趨勢科技表示,該應用程式(由趨勢科技檢測為AndroidOS_FraudBot.OPS)試圖通過使用輕量級模組化下載程式(downloader)來破壞不知情使用者的裝置。雖然這些應用程式的釋出者不同,但趨勢科技懷疑他們來自同一個開發者,因為他們的程式碼彼此相似。在下載並安裝之後,第一個元件會與C&C伺服器連線,然後解密並執行有效載荷(payload)。
圖3.有效載荷按順序執行
具體來講,有效載荷將按一下順序執行:
1.名為“Icon”的模組會隱藏應用程式的圖示,以防止使用者解除安裝它。
圖4.隱藏圖示
2.名為“Wpp”的模組可以開啟瀏覽器,以訪問任意URL。
圖5.該模組會收集在瀏覽器中找到的特定URL
在趨勢科技分析該樣本時,應用程式會顯示虛假的調查表格,以收集使用者的個人身份資訊(PII),如姓名、電話號碼和家庭住址,聲稱可以換取禮品卡。虛假調查表格使用裝置的預設瀏覽器載入,如果無法識別預設瀏覽器,則會通過以下任何瀏覽器載入,包括Boat browser、Brave、Chrome、Cheetah、Dolphin、DU、Firefox、Jiubang Digital Portal、Link Bubble、Opera、Opera Mini、Puffin和UC。
圖6.用於收集使用者資訊的虛假調查表格
此外,“Wpp”模組還會通過隨機應用程式觸控事件來生成欺詐性廣告點選。
圖7.用於欺詐性廣告點選的隨機應用程式觸控事件
3.名為“Socks”的模組被用作動態庫,它與C-Ares(用於非同步DNS請求的C庫)整合在一起。雖然趨勢科技暫時還沒有觀察到其與C&C伺服器的通訊,但他們認為這是因為此功能正處於開發階段。
圖8. Socks與C-Ares整合在一起
總結
目前,谷歌已經從其官方應用商店中刪除了這些惡意應用程式。但趨勢科技表示,這群網路犯罪分子很可能正在為未來的惡意活動(如殭屍網路攻擊)新增更多功能和更新,特別是安全檢測逃避技術。這一事件也證實,網路犯罪分子仍然可以通過惡意應用程式來攻擊移動裝置。這也再一次證明,移動裝置使用者很有必要為自己的裝置配置適用的防病毒產品,以抵禦此類移動惡意軟體。
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。