Google Play上出現多款美肌相機應用程式會發送色情內容,將使用者導到釣魚網站或收集他們的照片。
趨勢科技在Google Play上發現多款相機應用程式(偵測為AndroidOS_BadCamera.HRX)會連到遠端廣告配置伺服器來做出惡意行為,
包括 Pro Camera Beauty、Cartoon Art Photo與Emoji Camera 三款已經被下載了數百萬次,Artistic effect Filter的下載數量超過30萬,逾10萬下載量的則有Art Editor、Beauty Camera、Selfie Camera Pro、Horizon Beauty Camera、Super Camera、Art Effects for Photo及Awesome Cartoon Art。
圖1.Google Play上惡意美肌應用程式的截圖
過年親友團聚,各種打卡拍照不能少,套用各種美美的濾鏡就能簡單拍出好氣色,但現在要小心了!趨勢科技在Google Play上發現多款熱門的相機應用程式(偵測為AndroidOS_BadCamera.HRX)會推送欺詐和色情內容的惡意廣告,甚至引導受害者下載付費色情播放程式(偵測為AndroidOS_PornPlayer.UHRXA),或是連結到遠端廣告配置伺服器從事廣告分析。值得注意的是,此類應用程式有部分已經被下載了高達數百萬次,其中來自亞洲的下載量更為大宗!
隱藏圖示,難以移除
使用者在下載這些應用程式後並不會馬上感覺有何不妥,直到決定要移除應用程式時才會發現可疑之處。以com.beauty.camera.project.cloud為例,它會在執行後建立一個捷徑。但會從應用程式列表隱藏圖示,讓使用者難以移除,因為沒辦法點選刪除。此外,這些相機應用程式使用了加殼技術(packer)來防止被分析。
圖2、顯示惡意應用程式如何從應用程式列表隱藏自身的程式碼
廣告大放送,包含付費了卻看不見任何東西的線上色情播放程式
當使用者解鎖手機時,應用程式會推送好幾個全螢幕廣告,包括用瀏覽器跳出的惡意廣告(包括欺詐性內容和色情內容)。在我們的分析過程中,趨勢科技發現一個付費的線上色情播放程式(偵測為AndroidOS_PornPlayer.UHRXA)會在點擊跳出視窗時下載。但要注意的是,即使使用者付錢來執行播放程式也不會出現任何內容。
恭喜贏得iPhone X?導向釣魚網站來要求使用者提供個人資料
並沒有任何跡象可以看出是這些應用程式導致廣告跳出,所以使用者可能很難找到廣告來源。其中有些應用程式會導向釣魚網站來要求使用者提供個人資料(如地址和電話號碼)。比方說如下圖,點擊中間截圖的「OK」按鈕會將使用者導到新頁面,讓使用者嘗試三次來贏得獎品。而第三次嘗試一定會中獎,然後出現表單來詢問使用者的詳細資料。
圖3、廣告截圖。中間截圖通知使用者贏得iPhone X。點擊OK會被導到釣魚網站
該應用程式從下列遠端伺服器和外部網址下載廣告配置,會分析目標手機來確定廣告行為:
- hxxps://d3pukqxlxhielm.cloudfront.net/congfig[.]json
- hxxps://dgld3i8oh1hf6.cloudfront.net/congfig[.]json
後端服務會排程解析配置並調用手機瀏覽器。
圖4和5、網路流量和程式碼顯示瀏覽器如何跳出廣告
將你 「美化」後 的照片,上傳社群媒體冒用你的大頭貼
我們進一步調查找到另一批Google Play上的照片濾鏡應用程式有類似的行為。這些應用程式讓使用者上傳照片到指定伺服器來進行「美化」。但使用者並不會拿到編輯好的照片,而是出現用九種不同語言提示假更新的圖片。作者可能會收集透過應用程式上傳的照片來用在惡意目的 – 如用在社群媒體的假個人資料照片。
圖6:Fill ART Photo Editor(中:編輯過程,右:假更新訊息)
這些應用程式所用的遠端伺服器會用BASE64編碼兩次。許多應用程式也會用上面提到的技巧來隱藏自己。
圖7:從Google Play下載的惡意相機濾鏡應用程式
注意假評價:五星或一星評價不相上下,背後的真正原因
因為有許多惡意應用程式都會盡可能地讓自己看起來合法,使用者在下載應用程式時要保持小心謹慎。一個好方法是檢查其他使用者的評價。如果評價內提到任何可疑行為,那麼最好就不要下載。
圖6、其中一個應用程式的評價。多數是五星或一星,呈U形分佈,這可能代表一般使用者給的評價較低,而假評價則都會給高分。
下載各類手機應用程式仍應保持小心謹慎
春節長假即將到來,民眾用手機自拍PO出遊美照之前,不僅是美肌應用程式,下載各類手機應用程式仍應保持小心謹慎,建議下載前多花個幾分鐘,仔細瀏覽使用者評價當中是否提及任何可疑的行為,幫助自己在下載前做出判斷!
PC–cillin 雲端版30天防毒軟體免費下載,整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 歡迎試用!守護您的電腦、、手機、平板防護一次到位,Windows、Mac、Android、iOS跨平台防護 》即刻免費下載試用
入侵指標(IoC)
| 套件(Package)名稱 | 應用程式名稱 | 下載次數 |
| com.beauty.camera.years.pro | Pro Camera Beauty | 1,000,000+ |
| com.cartoon.art.photo.ygy.camera | Cartoon Art Photo | 1,000,000+ |
| com.lyrebirdstudio.emoji_camera | Emoji Camera | 1,000,000+ |
| art.eff.filter.photo.editor | Artistic effect Filter | 500,000+ |
| art.filter.editor.imge | Art Editor | 100,000+ |
| com.beauty.camera.project.cloud | Beauty Camera | 100,000+ |
| com.selfie.camerapro.pro | Selfie Camera Pro | 100,000+ |
| com.camera.beauty.kwok.horizon | Horizon Beauty Camera | 100,000+ |
| com.camera.ygysuper.photograph | Super Camera | 100,000+ |
| com.effects.art.photo.for.self | Art Effects for Photo | 100,000+ |
| com.solidblack.awesome.cartoon.art.pics.photo.editor | Awesome Cartoon Art | 100,000+ |
| com.photoeditor.artfilterphoto | Art Filter Photo | 50,000+ |
| com.photocorner.artfilter.arteffect.prizma | Art Filter Photo Effcts | 10,000+ |
| com.picfix.cartoonphotoeffects | Cartoon Effect | 10,000+ |
| com.picsartitude.arteffect | Art Effect | 10,000+ |
| com.csmart.photoframelab | Photo Editor | 5,000+ |
| com.wallpapers.nuclear.hd.hd3d.best.live.nuclear | Wallpapers HD | 5,000+ |
| com.perfectmakeup.magicartfilter.photoeditor.selfiecamera | Magic Art Filter Photo Editor | 5,000+ |
| appworld.fillartphotoeditor.technology | Fill Art Photo Editor | 1,000+ |
| com.artflipphotoediting | ArtFlipPhotoEditing | 1,000+ |
| com.artphoto.artfilter.artpiczone | Art Filter | 1,000+ |
| com.photoeditor.cartoonphoto | Cartoon Art Photo | 1,000+ |
| com.photoeditor.prismaeffects | Prizma Photo Effect | 1,000+ |
| com.cmds.artphotofiltereffect | Cartoon Art Photo Filter | 100+ |
| com.latestnewappzone.photoartfiltereditor | Art Filter Photo Editor | 100+ |
| com.livewallpaperstudio.pixture | Pixture | 100+ |
| app.pixelworlds.arteffect | Art Effect | 50+ |
| timepassvideostatus.photoarteffect.cartoonpainteffect | Photo Art Effect | 10+ |
| com.techbuzz.cartoonfilter | Cartoon Photo Filter | 5+ |
@原文出處:Various Google Play “Beauty Camera” Apps Sends Users Pornographic Content, Redirects Them to Phishing Websites and Collects Their Pictures 作者:Lorin Wu(行動威脅分析師)