當應用程式出現「立即修復獲得更好的使用者體驗」….請小心!!談中國第三方應用程式商店內的下載器應用程式

講到第三方應用程式商店時,我們都會談論到安全風險。先前的研究已經顯示第三方應用程式商店往往是惡意軟體的溫床,具體來說,是惡意版本的熱門應用程式。除了惡意應用程式外,我們也看到「下載器應用程式」明顯地增加在這些商店內,其主要功能是下載其他可能對行動用戶造成危害的應用程式。

中國第三方應用程式商店內的下載器應用程式

趨勢科技的工程師決定來研究在中國最受歡迎的第三方Android應用程式商店。他們發現該網站有數以千計的應用程式被特別封裝來誘騙使用者下載其它應用程式。

一個例子是偽裝成遊戲應用程式的火雲邪神。我們的分析顯示這只是個重新封裝過的應用程式,會在安裝後跳出視窗。該訊息通知使用者系統缺少某些應用程式所需核心組件,並促使他們加以修復以得到「更好的使用者體驗」。一旦按下「修復」按鈕就會開始下載。

圖1、(左圖)遊戲應用程式;(右圖)指出該設備需要下載組件的訊息

當下載「修復」時,會出現其他應用程式的圖片訊息來要求使用者點擊。點擊任何圖片都會下載其它應用程式。我們注意到下載的應用程式並不一定是圖片所廣告的那一個。

如果使用者不按圖片,圖片會停在螢幕上,直到下載完成。使用者可以按下「X」來關閉圖片,但是另一個圖片會馬上出現加以替換。

下載完成後,會要求使用者安裝「組件」。這其實是個下載器,com.andriod.frames

圖2、該組件是com.andriod.frames

安裝完成後,com.andriod.frames會在背景執行。它會下載其他應用程式並要求使用者安裝。

圖3、com.andriod.frames在背景執行並下載其他應用程式

 

下載器應用程式的危害

我們在資料庫內搜索這些應用程式,發現它們的套件名稱似乎很隨機。  繼續閱讀

有後門功能的Android應用程式 ,埋伏在遊戲類應用程式

除了會替使用者訂閱不需要的服務還有會侵略性的派送廣告的惡意應用程式外,Android使用者也必須要小心那些有後門功能的應用程式。

有後門功能的Android應用程式 ,埋伏在遊戲類應用程式
有後門功能的Android應用程式 ,埋伏在遊戲類應用程式

雖然二〇一二年的主要惡意應用程式是加值服務濫用程式跟廣告軟體,但它們並不是Android上唯一的威脅。最近的頭條新聞有個關於殭屍網路/傀儡網路 Botnet運行在超過一百萬支智慧型手機上的報告,這正好說明了針對Android攻擊的多樣化,而且還沒有看到盡頭。

而在出現這些報告之前,我們從二〇一二年七月就開始看到這類型的惡意軟體,到目前為止實際偵測到4,282個樣本。趨勢科技所分析的相關樣本(趨勢科技偵測為ANDROIDOS_KSAPP.A,ANDROIDOS_KSAPP.VTD,ANDROIDOS_KSAPP.CTA,ANDROIDOS_KSAPP.CTB和AndroidOS_KSAPP.HRX)是從某第三方應用程式商店取得,但我們認為也可能出現在其他網站上。通常這些應用程式是放在遊戲類,有些會做成熱門遊戲的重新包裝版本。

我們所分析的第一批樣本是用相同的應用程式名稱,應該是來自同一家公司。

一旦這些惡意應用程式被安裝成功,它會連到下列的遠端網站以取得壓縮過的腳本程式,然後讀取這腳本程式:

  • https://{BLOCKED}y.{BLOCKED}i.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
  • https://{BLOCKED}n.{BLOCKED}1302.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
  • https://{BLOCKED}1.com:5101/ks/do?imei=xxxx&wid=yyyy&type=&step=0

需要解讀下載的腳本程式讓它比一般出現在Android上的殭屍網路/傀儡網路 Botnet惡意軟體更加複雜,因為惡意軟體可以透過新腳本程式來變更自己。

 

有後門功能的Android應用程式 ,埋伏在遊戲類應用程式
有後門功能的Android應用程式 ,埋伏在遊戲類應用程式

如上圖所示,這惡意軟體還會更新執行中的腳本程式,以避免被防毒軟體偵測。這個更新機制讓惡意軟體可以下載自身的新變種。遠端腳本程式還包含自訂指令,讓遠端攻擊者可以在受感染設備上執行。例如,應用程式可以執行測試用函數(代碼如下所示):

 

有後門功能的Android應用程式 ,埋伏在遊戲類應用程式
有後門功能的Android應用程式 ,埋伏在遊戲類應用程式

 

解讀遠端腳本程式,可以用Java反射(reflections)安裝新的Java物件(如變數和函數),因此動態的遠端程式碼可以在本地端執行,這可能會導致其他惡意檔案的下載。為了提示使用者安裝這些檔案,應用程式會顯示通知列或彈跳視窗。下載這些檔案的使用者則不幸的會讓他們的設備受到更多惡意軟體感染。更不用說安裝ANDROIDOS_KSAPP變種可以讓遠端攻擊者控制使用者的設備,執行更多可怕的指令。

二〇一二年已經成為Android威脅的一年,而不僅是試試水溫而已。在我們的二〇一二年度安全綜合報導中提到,Android惡意軟體的數量成長到卅五萬,相對於我們在二〇一一年所看到的一千個行動惡意軟體,這是個跳躍性的變化。這成長讓人聯想到一般電腦上的威脅歷史,只是用更快的速度。如果這種趨勢繼續下去,我們預測今年惡意和高風險Android應用程式的數量將會在二〇一三年達到一百萬繼續閱讀