Android (安卓)桌布應用程式出現廣告詐騙活動

趨勢科技在Google Play商店上偵測到15個會進行點擊廣告詐騙的桌布應用程式。直到本文撰寫時,這些應用程式在Play商店上已經被下載了超過222,200次,我們的監測顯示大多數分佈在台灣、義大利、美國,德國和印尼。Google已經確認移除了所有偵測到的應用程式。

圖1、出現在Google Play商店的點擊詐騙應用程式。

 

應用程式行為

這些應用程式有著吸引人的圖示,同時號稱會提供美麗的手機桌布。應用程式本身也有著非常正面的使用者評論,但我們高度懷疑這些評論是假的,只是為了取信使用者。

圖2、Wild Cats HD桌布應用程式被下載超過10,000次。

在Google Play商店上的評價為4.8分。

一但下載了應用程式,就會解碼命令和控制(C&C)伺服器地址來進行設定。

圖3、解碼並使用C&C伺服器地址。

 

整個過程都設成靜音以避免被使用者發現。應用程式啟動後就會送出HTTP GET請求給C&C來取得JSON格式的列表。

 

圖4、整個過程被靜音。

圖5、C&C伺服器的回應

 

傳回的資料包含fallback_URLtypeUAURLrefererx_requested_withkeywords

圖6、取回列表。

 

應用程式接著會從Google Play服務取得廣告ID,並且置換掉網址內的一些參數,用廣告ID置換掉ANDROID_ID,用詐騙應用程式套件名稱置換掉BUNDLE_ID,用受感染設備的IP地址置換掉IP等等。置換過後,就會根據類型載入網址。

圖7、製作詐騙用fallback_URL

 

載入網址時,瀏覽器背景會被設為透明。

圖8、背景設為透明。

 

載入網址後,應用程式會開始在廣告頁面模擬點擊。

圖9、造假的模擬廣告點擊。

 

網路犯罪分子透過置換這些參數來賺錢。Google提供給Android開發者的各種ID(如廣告ID、廣告商ID和設備ID)是讓開發者從應用程式獲利的匿名標識。這應用程式將ANDROID_ID、BUNDLE_ID、IP、USER_AGENT置換為廣告ID、應用程式套件名稱、設備IP地址和瀏覽器的使用者代理程式。這些都出現在設定檔的fallback_URL內,為虛假點擊建立一組詐騙fallback_URL。如原本是:

 

hxxp://pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid={ANDROID_ID}&bundle={BUNDLE_ID}&ip={IP}&ua={USER_AGENT}&cb=5c1236f316e45

 

會被變換成:

 

hxxp://pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid=260903559217b3a8&bundle=com.amz.wildcats&ip= 203.90.248.163&ua=Mozilla/5.0 (Linux; Android 6.0.1; MuMu Build/V417IR; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/52.0.2743.100 Mobile Safari/537.36&cb=5c1236f316e45

 

趨勢科技解決方案

 

使用者必須要小心下載的應用程式,因為網路犯罪分子會持續地利用應用程式來獲取利益、竊取資料和進行攻擊。必須使用能夠抵禦行動惡意軟體的全面性安全軟體來保護行動設備。

 

趨勢科技行動安全防護能夠偵測此威脅,可以保護設備來抵禦所有相關威脅。能夠封鎖惡意應用程式,使用者也可以透過其多層次安全防護功能來保護設備的資料和隱私,對抗勒索病毒、詐騙網站和身份竊盜等惡意威脅。

 

企業可以使用趨勢科技的行動安全防護企業版,提供設備、合規和應用程式管理,資料保護和設定配置,並且保護設備對抗漏洞攻擊,防止未經授權存取,以及偵測和封鎖惡意軟體及詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習技術來涵蓋Android和iOS威脅。能夠保護使用者解決惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。

 

入侵指標

套件名稱 SHA256 安裝數量(截至12/14/2018)
com.amz.wildcats 0995b52a9a12cf31ae19c360d56ca1a20d784eecc9b018514dbf01446f4ad36e 10,000+
com.amz.underwaterworld 1f6907b2e8f7fa7597a28b2e7133325fcddb3e4f9e1c3cbad82afaa82bf3c57e 5,000+
com.appmakerz.dclock b098d0ee0766558dff37761358d250a7b648c1de1556bd0345564b74a6db848c 50,000+
com.appmakerz.shark fbcc2c9ddc69c0f272f80051987b5ed911cd112ef6e26709b54e67cae7ce1fb6 50,000+
com.appmakerz.xphone aec79ed8cb779474a058e89bd4f1a55a534d439af5d48751867300a885d50182 10,000+
com.appmakerz.dolphins 48d7ebf7fd65cb317e52c5d331d193bfaf3f48590b8f598292be88f26dc8464e 10,000+
com.appmakerz.ocean 034aa9f3ceeb74acf38c0f4036bb0e89339759ed73de009207c7036eb25e14a5 10,000+
com.appmakerz.waterdrop 8d643500319bd9e4eb2007ac43613bf53943b65dff25ee933d5450ecc11402b8 10,000+
com.appmakerz.koi 8f16246b9afc1dfb89ca8b60f1b097584b94034e0de6496bbc28e58d667c4af5 10,000+
com.appmakerz.crackedscreen a2ef230d3b091c0571bb0c96b456c17f94a176a2861281b6ff0b56e789e17b64 50,000+
com.amz.skull ee6ef277ea9d8478965452e10c0c01cd7a4d13c1cd23e9ee8d2668a715f7a6b5 5,000+
com.mobixa.curvededges fa8f9d3415bc38b679204f2c8fd983e12298e014007f2a18f7501e3c1d3d1910 100+
com.mobixa.starrysky bf016cf1142b17c5a088a80feb88fb10ab9be05c20133931b7190e352a1f1b08 100+
com.mobixa.sunset bc8237bf6a9b25e71bb55c0841c1ee6ef443835bf172666a680f74badadf34f8 1,000+
com.mobixa.christmas d34598835b28a6ad070dd0986b0bbc336c8ba7cac9a9a22d6b3c6a99049242a6 1,000+

 

C&C伺服器

hxxp://myukka.com/v2/xfeeds.php

hxxp://198.1.125.77/tracking/config.php

 

@原文出處:Android Wallpaper Apps Found Running Ad Fraud Scheme 作者:Tony Bao

 

PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 》即刻免費下載試用

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數