欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对Google Play上出现的Ztorg木马变种分析

来源:本站整理 作者:佚名 时间:2017-06-06 TAG: 我要投稿

一、前言
我们对Ztory变种的研究始于在Google Play上所发现的某个恶意软件,该软件伪装成Pokemon GO的指南应用,在Google Play上存活了几周的时间,下载量达到500,000多次。我们将该恶意软件标记为Trojan.AndroidOS.Ztorg.ad。经过一番搜索,我发现Google Play商店中还存在其他类似的恶意应用,第一个应用就是“Privacy Lock”应用,该恶意应用于2016年12月15日上传到Google Play中,是最流行的Ztorg变种之一,有超过1百万次的安装量。
在跟踪这类被感染的应用程序一段时间之后,有两个现象让我非常吃惊,那就是这些应用传播非常迅速而且应用的评论比较特别。
二、流行性分析
这些被感染的应用扩散速度非常快,每天都有超过上千个新用户激活。
比如,在我将com.fluent.led.compass报告给Google的那天,这个应用有10,000-50,000次安装量。

然而,第二天Google Play上还是能看到这个应用的身影,并且这个应用的安装次数增加了十倍,达到了100,000–500,000。这意味着在短短一天内,至少有5万名新用户被感染。
三、应用评论
在这些应用的评论中,很多人提到他们是为了赚取信用、金币等等才下载这些应用。



在某些评论中,用户还提到了其他应用,比如Appcoins、Advertapp等。
综合这些原因,我着手开始研究这些应用。
四、广告
4.1 付费推广的应用
大多数评论中提到的应用为Appcoins,因此我安装了这个应用。安装完毕后,它推荐我安装其他一些应用来赚取0.05美元,其中包括某个恶意应用。

说实话,我比较惊讶的是只有一个应用是恶意的,其他应用都是干净的。
有趣的是这些应用会检查它们是否具备目标设备的root权限,如果已具备目标设备的root权限,它们就不会付给用户酬劳。感染目标设备后,Ztorg变种干的第一件事情就是获取超级用户(superuser)权限。
我联系过Appcoins的开发者,想知道这些恶意广告的来源,然而他们只是删除了这些推广广告,然后告诉我他们没有发现恶意软件,因此他们没有做错什么。
之后我分析了被感染用户所安装的那些应用,整理了一份向用户付费以推广应用的列表,进入这个列表的应用安装量都比较大。列表中包含以下应用:

mobi.appcoins

com.smarter.superpocket

com.moneyreward.fun
当然,这些应用也都在推广其他恶意应用:


每当用户从Google Play上下载及安装被Ztorg感染的应用后,这些应用都会向用户支付0.04-0.05美元。
4.2 广告联盟
因此我决定好好研究一下这些应用,导出并分析这些应用的流量。
一个广告应用变成一个恶意应用的典型流程如下:
1、应用程序从服务器接收推广命令(包括恶意推广在内,如moneyrewardfun[.]com)。恶意推广都来自于著名的广告服务商(通常为supersonicads.com以及aptrk.com)。
2、经过广告服务商域名的几次重定向之后(在某个案例中,重定向次数达到了27次),应用会访问global.ymtracking.com或者avazutracking.net,这两个URL也与广告有关系。
3、应用再次重定向到track.iappzone.net。
4、最终指向Google Play应用商店的URL为app.adjust.com。
在我导出的所有推广链接中,都会包含track.iappzone.net以及app.adjust.com这两个URL。
adjust.com是一个著名的“商务智能平台”;恶意广告联盟中使用的URL地址如下所示:

https://app.adjust.com/4f1lza?redirect=https://play.google.com/store/apps/details?id=com.game.puzzle.green&install_callback=http://track.iappzone.net
我们能够通过这类URL地址,识别出Google Play上被感染的那些应用程序。
4.3 恶意服务器
来自于iappzone.net的URL如下所示:

http://track.iappzone.net/click/click?offer_id=3479&aff_id=3475&campaign=115523_201%7C1002009&install_callback=http://track.supersonicads.com/api/v1/processCommissionsCallback.php?advertiserId=85671&password=540bafdb&dynamicParameter=dp5601581629793224906

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载