隨著行動廣告支出的逐年增加,網路犯罪分子也會持續嘗試用更加巧妙的伎倆來透過廣告軟體賺取非法利潤。趨勢科技最近觀察到一波進行中的廣告軟體活動(趨勢科技偵測為AndroidOS_HiddenAd.HRXAA和AndroidOS_HiddenAd.GCLA)隱藏在182個免費下載的遊戲和相機應用程式背後。它們大部分都能夠在Google Play上找到,已經被下載了數百萬次。這波廣告軟體活動可以隱藏應用程式圖示,跳出無法立即關閉或退出的全螢幕廣告以及躲避沙箱偵測。
趨勢科技在2019年6月中旬發現這波偽裝成遊戲和相機應用程式的廣告軟體活動。我們根據應用程式的行為產生啟發式特徵碼來分析偵測到的其他樣本。經過分析應用程式套件名稱、標籤、發布時間、離線時間、程式碼結構以及程式碼樣式和功能後,我們推斷這波廣告軟體活動自2018年以來就一直活躍著,雖然所用的應用程式是由不同開發者所提交。
182應用程式,有111個出現在Google Play
在182個會載入廣告軟體的應用程式裡,有111個可在Google Play上找到。其他惡意應用程式可在託管一般應用程式的第三方商店找到(如9Apps或PP Assistant)。經過分析,我們發現Google Play上的111個應用程式中有43個是獨特或具備不同功能,其餘的則是迭代或重複的應用程式。
我們在分析過程中發現此波廣告軟體活動所用的惡意應用程式都已從Google Play上移除。這些應用程式在移除前的下載總量為 9,349,000。
隱藏圖示,避免被移除
由於惡意應用程式共用了程式碼結構,因此通常會表現出相同的行為。此波廣告軟體活動相關的惡意應用程式在下載後會按預期行為執行一段時間,之後就會隱藏自己的圖示讓使用者難以找到和移除。
圖2. Google Play上敘述廣告軟體行為的評論截圖
圖3. 不同應用程式的套件顯示相似的程式碼結構和樣式
圖4. 設定裝置上惡意程式碼執行延遲時間的程式碼截圖
圖5-6. 顯示30分鐘後隱藏或移除惡意應用程式圖示的程式碼截圖
最高每5分鐘跳出一次全螢幕廣告
根據廣告軟體程式碼的設定,每當使用者解鎖中毒手機螢幕(使用過濾器“android.intent.action.USER_PRESENT”)就會跳出全螢幕廣告。廣告軟體程式碼還會控制廣告在手機上顯示的最多次數及間隔時間。我們在此波活動所看過的最高頻率是設成每5分鐘跳出一次廣告。
圖7. 顯示過濾器“android.intent.action.USER_PRESENT”及廣告時間和次數限制的程式碼截圖
點擊“退回”按鈕也沒用!廣告持續從背景跳出,耗用手機的電池和記憶體
即使應用程式沒有在執行也無法馬上關閉或退出全螢幕廣告。當使用者想點擊“退回”按鈕來關閉跳出廣告時,只會出現開啟視窗而非退出廣告。這能夠增加網路犯罪分子的行動廣告收入和使用者的困擾。關閉廣告按鈕要在經過設定秒數後才會顯示。
當廣告持續從背景跳出時,也會耗用中毒裝置的電池和記憶體。
圖8. 廣告軟體活動的全螢幕廣告範例
我們看到網路犯罪分子持續地投入,在新幾版的廣告軟體裡用更進階的技術來隱藏惡意應用程式。
圖9. 前幾版廣告軟體所用的技術
圖10. 較新幾版廣告軟體所用的技術
躲過沙箱偵測技術的延遲執行伎倆
我們觀察到這波廣告軟體活動的幕後作者在積極地進行開發和加強。新版本的廣告軟體在中毒裝置的任務執行排成被設在24小時後。這樣長的延遲時間讓廣告軟體能夠躲過一般會在定義時間內監控活動的沙箱偵測技術。
圖11. 設定延遲24小時執行惡意任務的程式碼截圖
惡意程式碼還具備如“IsOrganic”和“CountryIsAllow”等條件或參數,可以判斷應用程式是否從螢幕或其他位置將自己隱藏起來。
圖12. 判斷應用程式是否將其自己從螢幕隱藏條件的程式碼截圖
圖13. 預先定義引用來源過濾器的程式碼截圖
圖14. 控制應用程式連到廣告軟體C&C伺服器行為的程式碼截圖
由於應用程式部署任何惡意活動前都需要很長的延遲時間,因此也推遲了連接C&C伺服器,讓廣告軟體能夠在不觸動裝置上防毒軟體和分析工具的情況下執行。廣告軟體還會通過編碼隱藏方法setComponentEnabledSetting來躲避防毒軟體的靜態分析。
圖15. 顯示網路犯罪分子躲避防毒軟體靜態分析的隱藏圖示方法程式碼截圖
使用者和機器學習驅動的安全解決方案
使用者可以用下列步驟來手動移除廣告軟體化身的假應用程式。不過有些惡意應用程式每隔五分鐘就會跳出全螢幕廣告實在是太惱人了。
網路犯罪分子正在尋找新方法來讓行動威脅可以更加隱蔽和無法察覺地從使用者身上獲利,不僅僅是部署廣告軟體,甚至會竊取敏感資料。這也是為什麼行動裝置應該具備全面性的安全防護軟體來抵禦行動惡意軟體。
趨勢科技行動安全防護能夠封鎖惡意應用程式,使用者還可以利用它的多層次安全防護功能來保護裝置內的資料和隱私,同時抵禦勒索病毒、詐騙網站和身份竊盜等攻擊。
對於企業用戶,趨勢科技的行動安全防護企業版提供裝置、合規和應用程式管理,資料保護和設定配置,並且保護裝置抵禦漏洞攻擊,防止未經授權存取以及偵測並封鎖惡意軟體及詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習(Machine learning,ML)技術來涵蓋Android和iOS威脅。保護使用者抵禦惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。
@原文出處:Adware Campaign Identified From 182 Game and Camera Apps on Google Play and Third-Party Stores Like 9Apps 作者:Jessie Huang(趨勢科技行動威脅分析師)