逾 300 萬次下載的 49 款遊戲及照相app,點選 Chrome圖示,蓋版廣告就展開!

趨勢科技最近在Google Play上發現了49個新廣告軟體會偽裝成遊戲和照相應用程式。這些應用程式都是典型的廣告軟體,會隱藏在行動裝置裡顯示廣告,同時還使用了反移除和躲避功能。這些應用程式下載總數已經超過了 300 萬次。
廣告軟體還會建立假 Chrome圖示,受害人點擊後,就會顯示難以關閉的全螢幕廣告。

手機廣告軟體再進化,偽裝 49款遊戲及照相app,具備反移除和躲避功能

這起事件延續了行動廣告軟體激增的趨勢–光是在去年八月我們就發現了85個夾帶廣告軟體的假照相和遊戲應用程式,它們也都採用了獨特的技術來躲避偵測。對手機公司來說,這些廣告軟體是個長期存在的問題。Google必須一次又一次地加以移除 – 在八月那批廣告軟體前,七月也出現過100多個夾帶廣告軟體的應用程式,同時廣告軟體也在一月影響了超過900萬名的使用者。多年以來,我們一直都在密切關注行動廣告軟體的詐騙行為,並且發現這些類型的應用程式在2018年也相當氾濫。仍然不斷地有新版本在上傳,我們將會繼續地監控它們的進展。

Google Play上夾帶廣告軟體的應用程式

圖1. Google Play上夾帶廣告軟體的應用程式

偽裝圖示同時推送全螢幕廣告

與我們之前所披露的類似,這些新應用程式會偽裝圖示同時推送全螢幕廣告給受害者。使用者無法用一般的方法退出廣告 – 只能點擊返回或Home鍵關閉。

Figure. 2

圖2. 隱藏或移除惡意應用程式圖示的程式碼

全螢幕廣告

圖3. 全螢幕廣告

六種躲避防毒軟體偵測策略

這些應用程式具備了好幾種有效的躲避策略。會嘗試利用下列技術來躲避防毒軟體的靜態及動態分析:

  1. 程式碼經過大量混淆。(圖4)
  2. 字串不僅經過 base64編碼,並且還會用客製化演算法(以套件名作為金鑰)進行加密。(圖5)
  3. 廣告軟體捷徑偽裝成常見的預設瀏覽器,並且使用與預設瀏覽器相同的圖示。但在點擊後會開啟廣告頁面,同時建立許多捷徑來佔據主畫面。(圖6、7、8)
  4. 對於不同版本的OS會採取不同的動作,特別是在建立捷徑方面。(圖10)這可能是因為Google在Android OS 8.0後收緊捷徑的權限要求。應用程式必須徵求使用者同意才能建立捷徑。(圖11)
  5. 廣告軟體會用StartForgroundService功能(出現在Android OS 8.0之後)保持活動狀態。它會將自己註冊為前景服務,所以即使沒有使用者互動也可以運行。這同時降低了在記憶體不足時被關閉的機會。基於此一作法,我們可以說廣告軟體一直在發展中,同時會一直跟上新的OS功能和更新。
  6. 觸發惡意動作的延遲時間延長。
程式碼混淆

圖4. 程式碼混淆

Figure. 5

圖5. 用客製化演算法進行加密(用套件名作為金鑰)的程式碼(左),及在較低版本時不會加密(右)

Figure. 6

圖6. 出現常見預設瀏覽器列表的程式碼

圖7. 應用程式重複建立捷徑的程式碼

圖7. 應用程式重複建立捷徑的程式碼

如前所述,廣告軟體會建立許多重複的瀏覽器圖示捷徑。而當點擊假Chrome圖示時就會開啟一個空白網頁,接著會刷新頁面變成全螢幕廣告。

使用者在看到全螢幕廣告後可以試著點擊近期任務按鈕來檢視其來源或關閉廣告。但並不會出現任何資訊,也沒有關於廣告來源的線索。此手法可以幫助廣告軟體將自己偽裝起來。此外,廣告軟體圖示本身已經變隱藏,讓找到和移除應用程式都變得很困難。

Figure. 8

圖8. 偽裝成Chrome瀏覽器的重複捷徑(左),點擊假圖示後開啟的全螢幕廣告(中)以及近期任務只出現空白顯示(右)

廣告軟體商在Activity類別使用新的setTaskDescription(…)方法。它可以用來在近期任務裡設定任務標題和任務圖示。而這一個廣告軟體將標題和圖示設成不可見。如圖8(右),點擊近期任務按鈕時只出現黑色橫條而沒有顯示頁面。

顯示如何將標題設成空白及如何將圖示設為不可見

圖9. 顯示如何將標題設成空白及如何將圖示設為不可見

對不同版本作業系統進行不同操作的程式碼

圖10. 對不同版本作業系統進行不同操作的程式碼

在Android OS 8.0上對使用者提出建立捷徑的請求

圖11. 在Android OS 8.0上對使用者提出建立捷徑的請求

廣告軟體程式碼還提供了最大顯示次數,還可以設定廣告在使用者手機上出現的間隔時間。

從眾多Google Play評論裡,我們發現了不同的行為回報:每隔幾分鐘跳出一次全螢幕廣告;廣告會在使用者點擊螢幕上任意位置時跳出;每當使用者解鎖受感染手機螢幕時就會出現廣告(作業系統會發送通知android.intent.action.USER_PRESENT給應用程式來顯示廣告)。

談論應用程式載入廣告軟體行為的Google Play評論

圖12. 談論應用程式載入廣告軟體行為的Google Play評論

這種行為不僅會造成使用者困擾。不斷跳出的廣告顯示也會消耗手機電量,這是已經存在多年的問題。它還會影響記憶體:因為運行中的程序被視為前景服務,因此系統會認定使用者正在使用,即使裝置記憶體不足也不會被終止。該應用程式難以移除也是個問題,它使用了躲避技術來隱藏自己。移除螢幕上的假瀏覽器捷徑並不會移除應用程式;而是必須進入手機設定,到應用程式選項部分找到該應用程式來進行移除。

趨勢科技行動安全防護可封鎖惡意程式

幸運的是廠商也相當了解廣告軟體的滋擾,會不斷提供更新來協助使用者避免使用這些應用程式。如前所述,Android OS 8.0及之後的版本需要使用者同意才能安裝捷徑。使用者應該要始終保持軟體及作業系統更新,好得到軟體公司最新安全解決方案的好處;在防護行動裝置時,還必須要採取最佳實作。應用程式的評論也是能看出好壞的指標 – 能夠對可疑行為發出危險訊號。

使用者還可以運用能夠封鎖隱身廣告軟體的安全解決方案,像是趨勢科技行動安全防護(也可從Google Play取得)或是可同時保護更多行動裝置或電腦的 PC-cillin 雲端版 ,可以封鎖惡意的應用程式。一般使用者還可以得益於其多層次的安全防護功能,能夠保護裝置所有者的資料和隱私,並且抵禦勒索病毒、詐騙網站及身份竊盜的危害。

PC-cillin 雲端版可過濾不良網站, 同時保護更多行動裝置或電腦》 立即免費下載試用

對於企業,趨勢科技的行動安全防護企業版提供了裝置、法規遵循和應用程式管理,資料保護和設定配置,同時能夠保護裝置抵禦漏洞攻擊,防止未經授權的存取以及偵測並封鎖惡意軟體和詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習(Machine learning,ML)技術來涵蓋Android和 iOS威脅。能夠保護使用者解決惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。 

入侵指標(IoC)可從此附錄取得。

MITRE ATT&CK技術手法

攻擊戰略 技術手法 ID 介紹
初始進入 通過授權的應用程式商店派送惡意應用程式 T1475 用於將惡意軟體上傳到Google Play商店
持續性 裝置啟動時應用程式會自動啟動 T1402 用於接收BOOT_COMPLETED廣播
防禦逃脫 混淆檔案或資訊 T1406 用於逃避許多應用程式的審查技術,然後在運行時反混淆或解密程式碼
防禦逃脫 抑制應用程式圖示 T1508 用於停止在應用程式啟動器顯示圖示,好隱藏已被安裝的事實
影響 產生欺詐性廣告收入 T1472 用於透過顯示不可關閉的廣告來產生收入
命令和控制 標準應用層協定 T1437 用於跟遠端C&C伺服器通訊

@原文出處:49 Disguised Adware Apps With Optimized Evasion Features Found on Google Play 作者:Jessie Huang