趨勢科技注意到Google Play上有好幾個偽裝成語音訊息平台的App(應用程式),會自動跳出假調查和進行欺詐性廣告點擊。這些惡意應用程式變種從10月開始陸續出現,未來可能發動殭屍網路等惡意攻擊。雖然目前感染數量仍不大嚴重,但因為其快速的發展及在行動生態系內的散播行為,仍須持續觀察相關應用程式上傳和使用者下載的狀況。
來自七個已知應用程式ID的所有樣本有著相似的編碼和行為,令人懷疑網路犯罪分子還在開發其他模組並將部署更多的惡意應用程式。
圖1、上傳到Google Play上偽裝成語音訊息應用程式的其中之一
圖2、惡意語音訊息應用程式被安裝數千次的紀錄
行為
AndroidOS_FraudBot.OPS,會試著偷偷利用輕量模塊化下載程式來侵害不知情使用者的行動裝置。雖然這些應用程式的發布上傳者不同,但我們懷疑應用程式都來自同一作者,因為程式碼彼此相似。下載後,第一個組件會連到C&C伺服器,然後解密並執行有效載荷(payload)。
圖3、有效載荷(payload)執行順序。
有效載荷(payload)執行如下:
- 名為“Icon”的模組會隱藏應用程式圖示來防止使用者卸載。
圖4、隱藏圖示
- 模組“Wpp”可以開啟瀏覽器來連上任意網址。
圖5、模組收集瀏覽器內的特定網址
在分析樣本時,應用程式會顯示聲稱換取禮品卡的假調查表來收集使用者的個人身份資料(PII),如姓名、電話號碼和住家住址。假調查表會用裝置的預設瀏覽器載入。如果無法識別預設瀏覽器,則會用下列我們從C&C回應看過的瀏覽器來載入調查表,包括:Boat Browser、Brave、Chrome、Cheetah、Dolphin、DU、Firefox、Jiubang Digital Portal、Link Bubble、Opera、Opera Mini、Puffin和UC。
圖6、假應用程式收集使用者資料
Wpp還會透過隨機應用程式觸控事件來進行欺詐性廣告點擊。
圖7、進行欺詐性廣告點擊的隨機應用程式觸控事件
- 模組“Socks”的功用是動態程式庫,它整合了C-Ares(用來進行非同步DNS請求的C程式庫)以及名稱解析。雖然我們沒有看到與伺服器的連線,但相信此功能仍在開發中。
圖8、Socks整合了C-Ares
防禦此威脅:趨勢科技解決方案
在本文撰寫時,Google已經從商店中移除這些惡意語音應用程式。但我們可以預期更多這類威脅的出現,而且具備不斷進化的功能,特別是躲避偵測的部分。這類惡意軟體顯示出網路犯罪分子能夠輕鬆地操作惡意功能來透過應用程式攻擊行動裝置。所以應該要安裝全面性的行動安全防護來抵禦行動惡意軟體。
趨勢科技行動安全防護個人版和行動安全防護解決方案可以保護裝置免於相關威脅的侵害。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習技術來涵蓋Android和iOS威脅,保護使用者免於惡意軟體、零時差和已知漏洞攻擊、隱私洩漏和應用程式漏洞等威脅侵害。
入侵指標
| 應用程式 | SHA256 |
| com.bitv.freeaudiomessages | 3f7b367488e761f89b4adeb5dc1b961766c238d41ebb9fbd726da8499d1fce26
|
| com.wififree.messenger | 7a4813f68936a37fce366154a608ad307084336abc205b55f80b0a6788d067ac
811f12ea658f9325eede5afcc9898aaf37d1e0eafab84e94b9d3b13adcc6131f |
| com.onlinevoice.playerapp | 92ea01d0198506d5a43e3cfccf7b2661c131c57e8d260fbf34760f01a897b0cb |
| com.bestvoice.messenger | 9742148afe109e8ab25ec81f58aee8befed6be20affa7b2a71702a65d4bc377c |
| com.netaudio.vam | cabe057cf19ddd54a1489e0db74d0c8833cea501c4b4a22b7953a6e7d1fd9391 |
| com.voicedata.justvoicemessenger | dddb84da1b4f8914f31781a1a8a46c028dbb776a891d198b5d4b78c3c9a62c8d |
| 偵測名稱 | AndroidOS_FraudBot.OPS |
| Google Play應用程式網址 | https://play.google.com/store/apps/details?id=com.bitv.freeaudiomessages
https://play.google.com/store/apps/details?id=com.wififree.messenger https://play.google.com/store/apps/details?id=com.onlinevoice.playerapp https://play.google.com/store/apps/details?id=com.bestvoice.messenger https://play.google.com/store/apps/details?id=com.netaudio.vam https://play.google.com/store/apps/details?id=com.voicedata.justvoicemessenger |
| C&C網址 | hxxp://vilayierie.live:443
hxxp://aspiet.club:443 hxxp://213.239.222.7:8081 |
@原文出處:Fake Voice Apps on Google Play, Botnet Likely in Development 作者: Echo Duan
PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 >>即刻免費下載試用
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
