Google Play出現假語音應用程式,竊取姓名電話住址等個資

趨勢科技注意到Google Play上有好幾個偽裝成語音訊息平台的App(應用程式),會自動跳出假調查和進行欺詐性廣告點擊。這些惡意應用程式變種從10月開始陸續出現,未來可能發動殭屍網路等惡意攻擊。雖然目前感染數量仍不大嚴重,但因為其快速的發展及在行動生態系內的散播行為,仍須持續觀察相關應用程式上傳和使用者下載的狀況。

來自七個已知應用程式ID的所有樣本有著相似的編碼和行為,令人懷疑網路犯罪分子還在開發其他模組並將部署更多的惡意應用程式。

botnet fake voice messenger app google play_1

圖1、上傳到Google Play上偽裝成語音訊息應用程式的其中之一

botnet fake voice messenger app google play_2

圖2、惡意語音訊息應用程式被安裝數千次的紀錄

 

行為

AndroidOS_FraudBot.OPS,會試著偷偷利用輕量模塊化下載程式來侵害不知情使用者的行動裝置。雖然這些應用程式的發布上傳者不同,但我們懷疑應用程式都來自同一作者,因為程式碼彼此相似。下載後,第一個組件會連到C&C伺服器,然後解密並執行有效載荷(payload)。

botnet fake voice messenger app google play_3

圖3、有效載荷(payload)執行順序。

 

有效載荷(payload)執行如下:

 

  1. 名為“Icon”的模組會隱藏應用程式圖示來防止使用者卸載。

botnet fake voice messenger app google play_3

圖4、隱藏圖示

 

  1. 模組“Wpp”可以開啟瀏覽器來連上任意網址。

botnet fake voice messenger app google play_3

圖5、模組收集瀏覽器內的特定網址

 

在分析樣本時,應用程式會顯示聲稱換取禮品卡的假調查表來收集使用者的個人身份資料(PII),如姓名、電話號碼和住家住址。假調查表會用裝置的預設瀏覽器載入。如果無法識別預設瀏覽器,則會用下列我們從C&C回應看過的瀏覽器來載入調查表,包括:Boat Browser、Brave、Chrome、Cheetah、Dolphin、DU、Firefox、Jiubang Digital Portal、Link Bubble、Opera、Opera Mini、Puffin和UC。

botnet fake voice messenger app google play_3

圖6、假應用程式收集使用者資料

 

Wpp還會透過隨機應用程式觸控事件來進行欺詐性廣告點擊。

botnet fake voice messenger app google play_3

圖7、進行欺詐性廣告點擊的隨機應用程式觸控事件

 

  1. 模組“Socks”的功用是動態程式庫,它整合了C-Ares(用來進行非同步DNS請求的C程式庫)以及名稱解析。雖然我們沒有看到與伺服器的連線,但相信此功能仍在開發中。

botnet fake voice messenger app google play_3

圖8、Socks整合了C-Ares

 

防禦此威脅:趨勢科技解決方案

 

在本文撰寫時,Google已經從商店中移除這些惡意語音應用程式。但我們可以預期更多這類威脅的出現,而且具備不斷進化的功能,特別是躲避偵測的部分。這類惡意軟體顯示出網路犯罪分子能夠輕鬆地操作惡意功能來透過應用程式攻擊行動裝置。所以應該要安裝全面性的行動安全防護來抵禦行動惡意軟體。

 

趨勢科技行動安全防護個人版行動安全防護解決方案可以保護裝置免於相關威脅的侵害。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習技術來涵蓋Android和iOS威脅,保護使用者免於惡意軟體、零時差和已知漏洞攻擊、隱私洩漏和應用程式漏洞等威脅侵害。

 

入侵指標

 

應用程式 SHA256
com.bitv.freeaudiomessages 3f7b367488e761f89b4adeb5dc1b961766c238d41ebb9fbd726da8499d1fce26

 

com.wififree.messenger 7a4813f68936a37fce366154a608ad307084336abc205b55f80b0a6788d067ac

811f12ea658f9325eede5afcc9898aaf37d1e0eafab84e94b9d3b13adcc6131f

com.onlinevoice.playerapp 92ea01d0198506d5a43e3cfccf7b2661c131c57e8d260fbf34760f01a897b0cb
com.bestvoice.messenger 9742148afe109e8ab25ec81f58aee8befed6be20affa7b2a71702a65d4bc377c
com.netaudio.vam cabe057cf19ddd54a1489e0db74d0c8833cea501c4b4a22b7953a6e7d1fd9391
com.voicedata.justvoicemessenger dddb84da1b4f8914f31781a1a8a46c028dbb776a891d198b5d4b78c3c9a62c8d
偵測名稱 AndroidOS_FraudBot.OPS
Google Play應用程式網址 https://play.google.com/store/apps/details?id=com.bitv.freeaudiomessages

https://play.google.com/store/apps/details?id=com.wififree.messenger

https://play.google.com/store/apps/details?id=com.onlinevoice.playerapp

https://play.google.com/store/apps/details?id=com.bestvoice.messenger

https://play.google.com/store/apps/details?id=com.netaudio.vam

https://play.google.com/store/apps/details?id=com.voicedata.justvoicemessenger

C&C網址 hxxp://vilayierie.live:443

hxxp://aspiet.club:443

hxxp://213.239.222.7:8081

 

@原文出處:Fake Voice Apps on Google Play, Botnet Likely in Development 作者: Echo Duan

PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 >>即刻免費下載試用

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數