欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

这可能是史上最大规模Google Play恶意程序活动

来源:本站整理 作者:佚名 时间:2017-06-04 TAG: 我要投稿

近期,Check Point的安全研究专家在Google自家的官方App商城Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,这是一款自动点击型恶意软件,目前已经在Google Play上发现有41款App感染了这种恶意软件。值得一提的是,这41款App均是由一家韩国公司开发的。Judy可以利用受感染设备生成大量的广告欺诈点击行为,而广告的点击量将给这种恶意活动背后的始作俑者带来丰厚的金钱回报。

据初步统计,目前每一款受感染App的下载量在450万到1850万次不等,而且研究人员还发现其中的部分App已经在Google Play上架了好几年了,但所有的受感染App近期都更新过。目前我们仍不清楚这些App是在什么时候感染了恶意代码,因此Judy的具体感染情况现在仍不得而知。
除了那41款由韩国某公司开发的App之外,Google Play上还有几款由其他开发者上架的App同样也感染了Judy。目前仍不清楚这两个恶意活动之间的关系,不过其中的一个恶意活动很有可能抄袭了另一个的恶意代码。第二个恶意活动中最老款的App最近一次更新是在2016年的四月份,这也就意味着这些恶意代码已经在Google Play应用商店中存在已久了,但至今才被检测到。这些App的下载量也非常大,从4百万到1800万不等。研究人员根据这些数据推测,目前Judy恶意软件的设备感染量很可能已经达到了850万至3650万台。

这款恶意软件与之前渗透Google Play的恶意软件(例如FalseGuide和Skinner)十分相似,Judy同样依靠其背后的命令控制服务器(C&C)来控制其具体操作和恶意互动。目前Check Point已经将这一威胁告知了Google,受感染App也从Google Play应用商店迅速下架了。
Judy的运行机制
为了绕过Bouncer(Google Play的市场审核保护机制),攻击者需要创建一个看似无害的Bridgehead App,然后将它上传至应用商店并用它来与目标用户的设备建立链接。当用户下载了恶意App之后,它便会在用户设备上悄悄注册接收器并与恶意C&C服务器建立通信链接。此时,服务器会返回实际的恶意Payload,其中包含有恶意JavaScript代码、用户代理信息(user-agent String)和恶意软件开发者控制的URL地址。恶意软件首先会通过用户代理打开URL地址(模仿PC浏览器打开隐藏网页),然后会接收到指向其他网站的重定向链接。当用户被重定向到了目标网站之后,恶意软件便会开始利用其中的JavaScript代码来定位并点击页面中的广告内容。点击了广告之后,恶意软件作者便会收到网站开发者支付的广告点击和流量奖励了。
恶意软件中的JavaScript代码通过搜索页面中的iFrame来定位广告所在的位置,具体如下图所示:

欺诈点击可以给攻击者带来丰厚的回报,再加上目前这款恶意软件的传播范围和规模如此之大,攻击者想必早已赚得盆满钵满了。
Judy背后的始作俑者到底是谁?
绝大部分受Judy感染的App都是由一家名叫Kiniwini的韩国公司开发的,该公司在Google Play上的注册信息显示为ENISTUDIO集团。据了解,该公司一直都在为Android和iOS平台开发移动端App。我们很少能够见到这种实际的组织来开发移动端恶意软件,因为绝大多数恶意软件都是由一些黑客自己开发出来的。
除了点击广告以外,Judy还会在受感染设备上显示大量的广告,而且某些情况下用户只能选择去点击并查看广告才可以让广告消失。虽然大部分受感染App的用户评分还算好,但也有很多用户报告了Judy的可疑行为。具体如下图所示:


从我们所得出的经验来看(例如之前发现的恶意软件DressCode),开发者的信誉度高并不意味着这款App就足够的安全。攻击者不仅可以隐藏App的真实意图,而且甚至还可以控制用户让他们在毫不知情的情况下给这款App好评。实际上,用户不能仅凭App的来源去判断其是否安全,哪怕是官方应用商店提供的App也同样是如此。因此,研究人员建议移动端用户尽快部署能够检测并阻止恶意软件的先进安全防护方案。
附表1-韩国公司Kiniwini开发的恶意App

附表2-其他开发者开发的恶意App

附表3-相关SHA256
a7e2030649cca0651730d4bea6f9c03200aaa3a0da56f112bf7c5691c172fcde
a649293a9420afdd9c034f74bc501eef645af1ca940346a59d0fc7aef9028dc9
407e92a8c83a1fc9797c7047a5084ffc3ca8616779bd7eb829c1a0210a731356
3803ca279b007f10b9ca1eb5fa329bd87e5b40670805d57031971d7bd6d5fb77
0aba0b966df39f8e0bf5f93955827ea223c1bda4c167232f9805958aa6e66ec0

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载