【手機病毒 】過年想要拍出好氣色,當心29款美肌相機應用程式會發送色情內容,還會偷個資盜用照片

Google Play上出現多款美肌相機應用程式會發送色情內容,將使用者導到釣魚網站或收集他們的照片。

趨勢科技在Google Play上發現多款相機應用程式(偵測為AndroidOS_BadCamera.HRX)會連到遠端廣告配置伺服器來做出惡意行為,
包括 Pro Camera Beauty、Cartoon Art Photo與Emoji Camera 三款已經被下載了數百萬次

,Artistic effect Filter的下載數量超過30萬,逾10萬下載量的則有Art Editor、Beauty Camera、Selfie Camera Pro、Horizon Beauty Camera、Super Camera、Art Effects for Photo及Awesome Cartoon Art。

Google Play上出現多款美肌相機應用程式會發送色情內容,將使用者導到釣魚網站或收集他們的照片

圖1.Google Play上惡意美肌應用程式的截圖

過年親友團聚,各種打卡拍照不能少,套用各種美美的濾鏡就能簡單拍出好氣色,但現在要小心了!趨勢科技在Google Play上發現多款熱門的相機應用程式(偵測為AndroidOS_BadCamera.HRX)會推送欺詐和色情內容的惡意廣告,甚至引導受害者下載付費色情播放程式(偵測為AndroidOS_PornPlayer.UHRXA),或是連結到遠端廣告配置伺服器從事廣告分析。值得注意的是,此類應用程式有部分已經被下載了高達數百萬次,其中來自亞洲的下載量更為大宗!


隱藏圖示,難以移除

使用者在下載這些應用程式後並不會馬上感覺有何不妥,直到決定要移除應用程式時才會發現可疑之處。以com.beauty.camera.project.cloud為例,它會在執行後建立一個捷徑。但會從應用程式列表隱藏圖示,讓使用者難以移除,因為沒辦法點選刪除。此外,這些相機應用程式使用了加殼技術(packer)來防止被分析。

Figure 2. Code snippet to show how the malicious app hides itself from the application list

圖2、顯示惡意應用程式如何從應用程式列表隱藏自身的程式碼

廣告大放送,包含付費了卻看不見任何東西的線上色情播放程式

當使用者解鎖手機時,應用程式會推送好幾個全螢幕廣告,包括用瀏覽器跳出的惡意廣告(包括欺詐性內容和色情內容)。在我們的分析過程中,趨勢科技發現一個付費的線上色情播放程式(偵測為AndroidOS_PornPlayer.UHRXA)會在點擊跳出視窗時下載。但要注意的是,即使使用者付錢來執行播放程式也不會出現任何內容。

恭喜贏得iPhone X?導向釣魚網站來要求使用者提供個人資料

並沒有任何跡象可以看出是這些應用程式導致廣告跳出,所以使用者可能很難找到廣告來源。其中有些應用程式會導向釣魚網站來要求使用者提供個人資料(如地址和電話號碼)。比方說如下圖,點擊中間截圖的「OK」按鈕會將使用者導到新頁面,讓使用者嘗試三次來贏得獎品。而第三次嘗試一定會中獎,然後出現表單來詢問使用者的詳細資料。

 Figure 3. Screenshots of the pop-up ads. The Chinese text in the middle screenshot is an announcement that the user has won an iPhone X. Clicking OK on the pop ups will bring up a phishing website

圖3、廣告截圖。中間截圖通知使用者贏得iPhone X。點擊OK會被導到釣魚網站

該應用程式從下列遠端伺服器和外部網址下載廣告配置,會分析目標手機來確定廣告行為:

  • hxxps://d3pukqxlxhielm.cloudfront.net/congfig[.]json
  • hxxps://dgld3i8oh1hf6.cloudfront.net/congfig[.]json

後端服務會排程解析配置並調用手機瀏覽器。

Figure 4 and 5. Network traffic and code snippet showing how the unwanted ads pop up by browser

Figure 4 and 5. Network traffic and code snippet showing how the unwanted ads pop up by browser

圖4和5、網路流量和程式碼顯示瀏覽器如何跳出廣告

將你美化」後 的照片,上傳社群媒體冒用你的大頭貼

我們進一步調查找到另一批Google Play上的照片濾鏡應用程式有類似的行為。這些應用程式讓使用者上傳照片到指定伺服器來進行「美化」。但使用者並不會拿到編輯好的照片,而是出現用九種不同語言提示假更新的圖片。作者可能會收集透過應用程式上傳的照片來用在惡意目的 – 如用在社群媒體的假個人資料照片。

 Figure 5: The Fill ART Photo Editor (middle: the “editing process”, right: the fake update)

圖6:Fill ART Photo Editor(中:編輯過程,右:假更新訊息)

這些應用程式所用的遠端伺服器會用BASE64編碼兩次。許多應用程式也會用上面提到的技巧來隱藏自己。

 Figure 7: Malicious Camera Filter Apps downloaded from Google Play

圖7:從Google Play下載的惡意相機濾鏡應用程式

注意假評價:五星或一星評價不相上下,背後的真正原因

因為有許多惡意應用程式都會盡可能地讓自己看起來合法,使用者在下載應用程式時要保持小心謹慎。一個好方法是檢查其他使用者的評價。如果評價內提到任何可疑行為,那麼最好就不要下載。

 Figure 6. Reviews from one of the apps. Most of the scores are either 5-star or 1-star, in a “U” shaped curve, which might indicate that the legitimate reviewers are giving it a low rating, while the fake ones are giving it as high a rating as possible

圖6、其中一個應用程式的評價。多數是五星或一星,呈U形分佈,這可能代表一般使用者給的評價較低,而假評價則都會給高分。

下載各類手機應用程式仍應保持小心謹慎

春節長假即將到來,民眾用手機自拍PO出遊美照之前,不僅是美肌應用程式,下載各類手機應用程式仍應保持小心謹慎,建議下載前多花個幾分鐘,仔細瀏覽使用者評價當中是否提及任何可疑的行為,幫助自己在下載前做出判斷!

PCcillin 雲端版30天防毒軟體免費下載,整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 歡迎試用!守護您的電腦、、手機、平板防護一次到位,Windows、Mac、Android、iOS跨平台防護  》即刻免費下載試用

入侵指標(IoC

套件(Package)名稱 應用程式名稱 下載次數
com.beauty.camera.years.pro Pro Camera Beauty 1,000,000+
com.cartoon.art.photo.ygy.camera Cartoon Art Photo 1,000,000+
com.lyrebirdstudio.emoji_camera Emoji Camera 1,000,000+
art.eff.filter.photo.editor Artistic effect Filter 500,000+
art.filter.editor.imge Art Editor 100,000+
com.beauty.camera.project.cloud Beauty Camera 100,000+
com.selfie.camerapro.pro Selfie Camera Pro 100,000+
com.camera.beauty.kwok.horizon Horizon Beauty Camera 100,000+
com.camera.ygysuper.photograph Super Camera 100,000+
com.effects.art.photo.for.self Art Effects for Photo 100,000+
com.solidblack.awesome.cartoon.art.pics.photo.editor Awesome Cartoon Art 100,000+
com.photoeditor.artfilterphoto Art Filter Photo 50,000+
com.photocorner.artfilter.arteffect.prizma Art Filter Photo Effcts 10,000+
com.picfix.cartoonphotoeffects Cartoon Effect 10,000+
com.picsartitude.arteffect Art Effect 10,000+
com.csmart.photoframelab Photo Editor 5,000+
com.wallpapers.nuclear.hd.hd3d.best.live.nuclear Wallpapers HD 5,000+
com.perfectmakeup.magicartfilter.photoeditor.selfiecamera Magic Art Filter Photo Editor 5,000+
appworld.fillartphotoeditor.technology Fill Art Photo Editor 1,000+
com.artflipphotoediting ArtFlipPhotoEditing 1,000+
com.artphoto.artfilter.artpiczone Art Filter 1,000+
com.photoeditor.cartoonphoto Cartoon Art Photo 1,000+
com.photoeditor.prismaeffects Prizma Photo Effect 1,000+
com.cmds.artphotofiltereffect Cartoon Art Photo Filter 100+
com.latestnewappzone.photoartfiltereditor Art Filter Photo Editor 100+
com.livewallpaperstudio.pixture Pixture 100+
app.pixelworlds.arteffect Art Effect 50+
timepassvideostatus.photoarteffect.cartoonpainteffect Photo Art Effect 10+
com.techbuzz.cartoonfilter Cartoon Photo Filter 5+

@原文出處:Various Google Play “Beauty Camera” Apps Sends Users Pornographic Content, Redirects Them to Phishing Websites and Collects Their Pictures 作者:Lorin Wu(行動威脅分析師)