趨勢科技在Google Play商店上偵測到15個會進行點擊廣告詐騙的桌布應用程式。直到本文撰寫時,這些應用程式在Play商店上已經被下載了超過222,200次,我們的監測顯示大多數分佈在台灣、義大利、美國,德國和印尼。Google已經確認移除了所有偵測到的應用程式。
圖1、出現在Google Play商店的點擊詐騙應用程式。
應用程式行為
這些應用程式有著吸引人的圖示,同時號稱會提供美麗的手機桌布。應用程式本身也有著非常正面的使用者評論,但我們高度懷疑這些評論是假的,只是為了取信使用者。
圖2、Wild Cats HD桌布應用程式被下載超過10,000次。
在Google Play商店上的評價為4.8分。
一但下載了應用程式,就會解碼命令和控制(C&C)伺服器地址來進行設定。
圖3、解碼並使用C&C伺服器地址。
整個過程都設成靜音以避免被使用者發現。應用程式啟動後就會送出HTTP GET請求給C&C來取得JSON格式的列表。
圖4、整個過程被靜音。
圖5、C&C伺服器的回應
傳回的資料包含fallback_URL、type、UA、URL、referer、x_requested_with和keywords。
圖6、取回列表。
應用程式接著會從Google Play服務取得廣告ID,並且置換掉網址內的一些參數,用廣告ID置換掉ANDROID_ID,用詐騙應用程式套件名稱置換掉BUNDLE_ID,用受感染設備的IP地址置換掉IP等等。置換過後,就會根據類型載入網址。
圖7、製作詐騙用fallback_URL。
載入網址時,瀏覽器背景會被設為透明。
圖8、背景設為透明。
載入網址後,應用程式會開始在廣告頁面模擬點擊。
圖9、造假的模擬廣告點擊。
網路犯罪分子透過置換這些參數來賺錢。Google提供給Android開發者的各種ID(如廣告ID、廣告商ID和設備ID)是讓開發者從應用程式獲利的匿名標識。這應用程式將ANDROID_ID、BUNDLE_ID、IP、USER_AGENT置換為廣告ID、應用程式套件名稱、設備IP地址和瀏覽器的使用者代理程式。這些都出現在設定檔的fallback_URL內,為虛假點擊建立一組詐騙fallback_URL。如原本是:
hxxp://pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid={ANDROID_ID}&bundle={BUNDLE_ID}&ip={IP}&ua={USER_AGENT}&cb=5c1236f316e45
會被變換成:
hxxp://pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid=260903559217b3a8&bundle=com.amz.wildcats&ip= 203.90.248.163&ua=Mozilla/5.0 (Linux; Android 6.0.1; MuMu Build/V417IR; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/52.0.2743.100 Mobile Safari/537.36&cb=5c1236f316e45
趨勢科技解決方案
使用者必須要小心下載的應用程式,因為網路犯罪分子會持續地利用應用程式來獲取利益、竊取資料和進行攻擊。必須使用能夠抵禦行動惡意軟體的全面性安全軟體來保護行動設備。
趨勢科技行動安全防護能夠偵測此威脅,可以保護設備來抵禦所有相關威脅。能夠封鎖惡意應用程式,使用者也可以透過其多層次安全防護功能來保護設備的資料和隱私,對抗勒索病毒、詐騙網站和身份竊盜等惡意威脅。
企業可以使用趨勢科技的行動安全防護企業版,提供設備、合規和應用程式管理,資料保護和設定配置,並且保護設備對抗漏洞攻擊,防止未經授權存取,以及偵測和封鎖惡意軟體及詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習技術來涵蓋Android和iOS威脅。能夠保護使用者解決惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。
入侵指標
| 套件名稱 | SHA256 | 安裝數量(截至12/14/2018) |
| com.amz.wildcats | 0995b52a9a12cf31ae19c360d56ca1a20d784eecc9b018514dbf01446f4ad36e | 10,000+ |
| com.amz.underwaterworld | 1f6907b2e8f7fa7597a28b2e7133325fcddb3e4f9e1c3cbad82afaa82bf3c57e | 5,000+ |
| com.appmakerz.dclock | b098d0ee0766558dff37761358d250a7b648c1de1556bd0345564b74a6db848c | 50,000+ |
| com.appmakerz.shark | fbcc2c9ddc69c0f272f80051987b5ed911cd112ef6e26709b54e67cae7ce1fb6 | 50,000+ |
| com.appmakerz.xphone | aec79ed8cb779474a058e89bd4f1a55a534d439af5d48751867300a885d50182 | 10,000+ |
| com.appmakerz.dolphins | 48d7ebf7fd65cb317e52c5d331d193bfaf3f48590b8f598292be88f26dc8464e | 10,000+ |
| com.appmakerz.ocean | 034aa9f3ceeb74acf38c0f4036bb0e89339759ed73de009207c7036eb25e14a5 | 10,000+ |
| com.appmakerz.waterdrop | 8d643500319bd9e4eb2007ac43613bf53943b65dff25ee933d5450ecc11402b8 | 10,000+ |
| com.appmakerz.koi | 8f16246b9afc1dfb89ca8b60f1b097584b94034e0de6496bbc28e58d667c4af5 | 10,000+ |
| com.appmakerz.crackedscreen | a2ef230d3b091c0571bb0c96b456c17f94a176a2861281b6ff0b56e789e17b64 | 50,000+ |
| com.amz.skull | ee6ef277ea9d8478965452e10c0c01cd7a4d13c1cd23e9ee8d2668a715f7a6b5 | 5,000+ |
| com.mobixa.curvededges | fa8f9d3415bc38b679204f2c8fd983e12298e014007f2a18f7501e3c1d3d1910 | 100+ |
| com.mobixa.starrysky | bf016cf1142b17c5a088a80feb88fb10ab9be05c20133931b7190e352a1f1b08 | 100+ |
| com.mobixa.sunset | bc8237bf6a9b25e71bb55c0841c1ee6ef443835bf172666a680f74badadf34f8 | 1,000+ |
| com.mobixa.christmas | d34598835b28a6ad070dd0986b0bbc336c8ba7cac9a9a22d6b3c6a99049242a6 | 1,000+ |
C&C伺服器
hxxp://myukka.com/v2/xfeeds.php
hxxp://198.1.125.77/tracking/config.php
@原文出處:Android Wallpaper Apps Found Running Ad Fraud Scheme 作者:Tony Bao
PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 》即刻免費下載試用
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
