廣告程式冒充成遊戲、電視、遙控器應用程式,造成 900 萬 Google Play 用戶遭到感染

煩人的廣告程式存在已久,但至今仍無消退的跡象。最近趨勢科技發現了一個相當活躍的廣告程式家族 (趨勢科技命名為:AndroidOS_HidenAd) 會假冒成 85 款不同的應用程式,包括遊戲、電視頻道、遙控器等等應用程式在 Google Play 商店上散布。這款廣告程式會顯示全螢幕廣告,並且會自我隱藏,在背後持續執行,並暗中監控行動裝置螢幕解鎖功能。這 85 款冒牌應用程式在全球共累積了 900 萬次下載。Google 在收到我們通報並進行確認之後,也火速將這些應用程式從 Google Play 商店下架。

FIGURE 1-A

圖 1: Google Play 上一些由廣告程式假冒的應用程式。

其中有一款名為「Easy Universal TV Remote」(簡易萬用電視遙控器) 的應用程式,宣稱可以讓使用者透過手機來遙控電視,該程式是這 85 款應用程式當中累積下載次數最高的應用程式。

FIGURE 2-A

圖 2:Easy Universal TV Remote 應用程式資訊畫面。

該應用程式雖然被下載了 500 多萬次,但其評論當中卻有不少使用者的抱怨。

FIGURE 3

圖 3:許多下載 Easy Universal TV Remote 應用程式的使用者都給予負評,並且抱怨程式執行到一半會突然消失,而且根本沒有它所宣稱的功能,還會彈出廣告。

行為分析

我們測試了該廣告程式家族的每一款冒牌應用程式之後發現,雖然它們並非全都登記在同一開發者名下,而且 APK 認證公開金鑰也不同,但其行為皆類似,而程式碼也一樣。

這些廣告程式在下載至行動裝置上執行之後,就會立即彈出一個全螢幕廣告。

FIGURE 4-A

FIGURE 4-C

FIGURE 4-B

圖 4:感染此廣告程式的行動裝置會顯示各種全螢幕廣告。

在關閉了第一個廣告之後,螢幕上會再出現下一步動作的按鈕,如:「start」(開始)、「open app」(開啟應用程式) 或「next」(下一步) 等等,以及一個橫幅廣告。如果點選這些按鈕,就會再開啟另一個全螢幕廣告。

FIGURE 5-A

FIGURE 5B

FIGURE 5-C

圖 5:裝置上可能出現各種下一步動作的按鈕。

FIGURE 6

FIGURE 7-B

FIGURE 7-C

圖 6:在點選前述某個下一步動作的按鈕之後,就會再出現另一個全螢幕廣告。

當使用者離開了全螢幕廣告之後,螢幕上會再出現更多相關選項的按鈕。此外,也會要求使用者到  Google Play 上幫該程式評分。使用者只要點選其中任何一個按鈕,就會再彈出全螢幕廣告。

FIGURE 8

FIGURE 9

FIGURE 9

圖 7:更多應用程式相關選項按鈕讓使用者點選,這些按鈕全都會再彈出更多全螢幕廣告。

最後,應用程式會告訴使用者程式正在載入或正在進行緩衝。但過了幾秒之後,應用程式就會從畫面上消失,此外,其應用程式圖示也會跟著不見。不過,應用程式其實是將自己隱藏起來在背景繼續執行。儘管應用程式已經隱藏,但它每 15 或 30 分鐘就會再顯示一個全螢幕廣告。

FIGURE 9

圖 8:應用程式消失之前所顯示的畫面。

FIGURE 10

圖 9:應用程式用來自我隱藏的程式碼。

在這些冒牌應用程式當中,有些顯示廣告的方式略有不同,它們會監視使用者解鎖螢幕的動作,每當使用者解除螢幕鎖定時,就顯示一則廣告。廣告程式在 AndroidManifest.xml 檔案當中註冊了接收事件的模組,因此每次使用者解鎖裝置時,就會觸發它顯示一則全螢幕廣告。

FIGURE 11

圖 10:感染該廣告程式的裝置畫面,廣告程式雖自我隱藏,但仍繼續在背後執行。

FIGURE 11

圖 11:廣告程式在 AndroidManifest.xml 當中註冊事件接收模組。

FIGURE 12

圖 12:廣告程式在使用者解鎖裝置時用來顯示全螢幕廣告的程式碼。

FIGURE 13

圖 13:裝置解鎖之後所顯示的全螢幕廣告。

趨勢科技解決方案

雖然這些冒牌應用程式可透過手機的解除安裝功能手動加以清除,但如果裝置每 15 或 30 分鐘,或者每次裝置解鎖時就會出現全螢幕廣告,使用者就很難操作解除安裝的功能。

隨著人們越來越仰賴行動裝置,妥善保護行動裝置安全、防範各種日益普及的行動裝置威脅 (例如暗藏廣告的冒牌應用程式) 將更加重要。

趨勢科技行動安全防護的使用者已可透過該軟體的 多層式防護來防範這項威脅。趨勢科技的行動應用程式信譽評等服務 (MARS) 已經可以利用先進的沙盒模擬分析與機器學習技術來防範 Android 及 iOS 裝置的威脅,防止使用者遭到惡意程式、零時差漏洞、已知漏洞、隱私外洩、應用程式漏洞等危害。

PC-cillin 同時保護行動裝置或電腦  》即刻免費下載試用

如需完整的相關入侵指標清單,請至此處

原文出處:Adware Disguised as Game, TV, Remote Control Apps Infect 9 Million Google Play Users 作者:Ecular Xu

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼

好友人數