Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制

趨勢科技在Google Play上發現有多達340個應用程式夾帶會自動點擊廣告的軟體GhostClicker(ANDROIDOS_GHOSTCLICKER.AXM),其中一個“阿拉丁冒險世界(Aladdin’s Adventure’s World)”被下載了500萬次, 而且評價高達4顆星。這些含有廣告軟體的應用程式涵括:休閒遊戲、設備效能工具(如清理工具和加速工具)和檔案管理程式、QR和條碼掃描程式、多媒體錄放程式、設備充電和GPS/導航相關應用程式。這些程式出現在台灣、東南亞及巴西、日本、俄羅斯、義大利和美國。

雖然大多數應用程式都已經下架,到2017年8月7日止還有101個夾帶GhostClicker的應用程式可以下載。

GhostClicker 會將自己隱藏在Google行動服務(GMS,Google最熱門應用程式和應用程式介面(API)組合),也會隱藏在Facebook廣告的軟體開發套件(SDK)。將自己嵌入到這兩個服務,皆以“logs”為名,可能是怕偽裝成合法應用程式元件比較容易引起懷疑。

《阿拉丁的冒險世界》被發現嵌有GhostClicker惡意廣告機制,下載次數超過500萬次,目前已被Google Play下架。
圖1:《阿拉丁的冒險世界》被發現嵌有GhostClicker,下載次數超過500萬次

 

隱藏在GMS或Facebook廣告SDK的GhostClicker程式碼
圖2、隱藏在GMS或Facebook廣告SDK的GhostClicker程式碼

 

 

GhostClicker企圖躲避撒箱偵測

一旦啟動該廣告軟體,受影響應用程式會取得設備系統屬性(http.agent),這是用來設定Android設備的使用者代理字串。如果字串包含“nexus”就不會觸發GhostClicker程序。我們認為這是用了躲避沙箱偵測(如Android的內建Android Application Sandbox),因為 Android模擬器/沙箱環境通常被命名為“Nexus XXX”。

當設備的http.agent不包含“nexus”時會觸發GhostClicker程序
圖3:當設備的http.agent不包含“nexus”時會觸發GhostClicker程序

部分含有GhostClicker的應用程式在第一次執行時會要求設備管理員權限,但它們沒有在後設資料內宣告使用的安全政策(如資料抹除和密碼重置)。這可能是要利用冗長而含糊不清的應用程式移除程序來阻止使用者刪除。

含有GhostClicker的應用程式要求設備管理員權限
圖4、含有GhostClicker的應用程式要求設備管理員權限

 

有些使用者不能移除應用程式的截圖
圖5、有些使用者不能移除應用程式的截圖

 

GhostClicker透過不間斷的自動點擊假流量營利

跟其他的廣告軟體不同,GhostClicker不用JavaScript來定位/取得和點擊廣告。而是將自己的程式碼插入AdMob(一個Google旗下的行動廣告平台)來取得廣告位置。取得設備螢幕尺寸(寬度和高度)後,計算出適當的XY座標來利用dispatchTouchEvent API來模擬點擊。事實上,這也是它命名的由來:如同鬼魂般在螢幕上點廣告。

為了賺取更多收入,GhostClicker會產生假流量。它會在Google Store其他應用程式下載連結彈跳出來,或透過與命令和控制(C&C)伺服器的連線來從設備瀏覽器開啟YouTube影片連結。在啟用設備管理員之後,GhostClicker會每分鐘的執行這些自動點擊。

圖6、GhostClicker插入程式碼來取得AdMob的Context View

 

圖7、GhostClicker產生座標

 

圖8、GhostClicker根據XY座標建立MotionEvent(模擬觸碰)

 

圖9、GhostClicker使用dispatchTouchEvent API來自動點擊廣告

 

GhostClicker 變種可讓廣告更隱密

趨勢科技追蹤 GhostClicker 後發現這是它自己的早期版本。之後的版本移除了自動點擊功能和設備管理員權限要求,可能讓廣告軟體變得更加隱蔽。使用者解鎖螢幕後,如果有連接網路,廣告軟體會在一定時間跳出間歇性的廣告。我們在“阿拉丁冒險世界“看過這版本的GhostClicker。

追溯了廣告軟體的歷史資料,我們也看到含有GhostClicker的應用程式近一年來的連續釋出。GhostClicker早在2016年8月就躲藏在GMS的SDK。到了2017年3月,GhostClicker不用自動點擊並利用AdMob、StartApp和Facebook廣告來接收C&C命令並間歇跳出廣告。到了5月,它又重新利用自動點擊和躲藏在Facebook廣告SDK。

榨乾設備的 CPU、電池和網路流量等資源

榨乾裝置的CPU、電池或傳輸數據等資源,還會危害使用者隱私,建議企業可限制使用者裝置管理權限的使用或是安裝防毒程式來降低這類惡意廣告機制所可能帶來的安全風險。

GhostClicker展現出廣告軟體的侵略性,更何況它會榨乾設備的 CPU、電池和網路流量等資源。也會不經告知或未經同意就收集個人資料,危害用戶隱私。廣告軟體除了顯現廣告外,也可能讓使用者感染真正的惡意軟體。

建議企業可以利用設備管理功能來限制使用,或是安裝防毒軟體。保持作業系統更新(或詢問廠商是否有更新可用)和採用最佳實作來保護個人行動設備都是建議的做法。企業在處理公司設備或BYOD環境也應該採取一樣的做法,因為他們是管理設備的人。閱讀應用程式的評價也有助於確認應用程式是否會出現可疑行為。

 

趨勢科技解決方案

多層次行動安全解決方案可以協助一般使用者和企業,就像趨勢科技的趨勢科技行動安全防護趨勢科技的行動安全防護企業版提供設備、合規和應用程式管理,資料防護和設定配置,也可以保護設備來對抗利用漏洞的攻擊,防止對應用程式未經授權的存取以及偵測和封鎖惡意軟體和詐騙網站。

我們已經將我們的發現披露給Google,並與他們合作來將Google Play上帶有廣告軟體的應用程式下架。Google Play安全防護也已經更新來對確認違反Play政策的應用程式採取適當措施。Google Play安全防護已經加強保護以確保強大且可擴展的防護能夠涵蓋整個生態系。包括相關哈希值(SHA256)、套件名稱和應用程式標籤的入侵指標(IOCs)列表,可以在此附錄中找到。

 

@原文出處:GhostClicker Adware is a Phantomlike Android Click Fraud 作者:趨勢科技行動威脅回應團隊(Echo Duan和Roland Sun)

 

◢ PC-cillin 2017 ✓手機✓電腦✓平板,跨平台防護3到位,即刻免費下載試用

PC-cillin 2017 雙重防護 一擊3到位