< App /應用程式 > 廣告和廣告軟體間的模糊地帶:檢視廣告軟體 MDash SDK

有報導指出Google從Play商店上移除了三個應用程式(Google removed three apps) ,因為發現它們是由廣告軟體所偽裝。根據應用程式商店的資料,這些應用程式在發現時已經被下載到數百萬台的設備上。然而,這些並非唯一擁有類似行為的應用程式。在三月初的調查時,趨勢科技的研究人員認為Google Play上有超過2,000個應用程式有類似的行為。不過,這個數字已經減少到數百或以下。

手機

廣告軟體 MDash

這個廣告軟體被偵測為ANDROIDOS_ADMDASH.HRX,是整合到那些應用程式的SDK(軟體開發套件)。雖然它有時也被稱為「MobiDash」,不過我們在本文中將此廣告軟體稱為「MDash」。令人費解的是,我們的研究沒有真正發現關於此SDK的可用資訊。極有可能此SDK是在私底下發表,這跟知名廣告軟體商有著鮮明的對比,後者經常會公開發布並促使應用程式整合其SDK以賺取更多錢。

如果SDK是在私底下發表,那它是如何到達應用程式開發者手上?很有可能是因為它是發表在地下論壇。

 

檢視MDash程式碼

為了分析MDash,我們選擇一個應用程式,套件為com.zigzag.tvojdekor。這是一個俄羅斯的應用程式,已經從Google Play的生活時尚類別移除。趨勢科技檢查此應用程式後發現,廣告軟體SDK MDash被精心開發和良好地維護著。

 

圖1、有MDash SDK的應用程式範例

 

圖2、MDash SDK原始碼結構

繼續閱讀

假 Android漏洞「掃描程式」暗藏玄機

Android安裝程式劫持漏洞,成為惡意軟體誘餌

Android 行動用戶要注意了,出現了一個被稱為「Android安裝程式劫持漏洞」的Android臭蟲。這漏洞可以讓網路犯罪分子將正常的應用程式置換或修改成惡意版本用來竊取資料。鑑於此一漏洞的嚴重性,我們決定尋找會利用此一漏洞的威脅。

一個掃描程式可用來檢查自己的行動設備是否受到這個Android安裝程式劫持漏洞的影響。使用相關的關鍵字後,趨勢科技發現有三個網站在宣傳針對此Android漏洞的「掃描程式」,有的甚至冒用真正掃描程式的名稱。

 

第一個網站

第一個網站提供兩個選項來下載掃描程式APK檔案。點擊任何一個都會在被重新導到Google Play上的正式掃描程式網頁前先導到另一個網站。

 

圖1、第一個網站透過兩個選項來「提供」掃描程式

 

如果有人點入該網站的其他部分會發生什麼事?會在新頁籤載入一個新網站。這些網站從問卷調查到所謂的軟體更新都有。此外,會自動下載一個檔案到行動設備上。在我們的研究過程中,可以下載三個檔案:

  • apk – 偵測為ANDROIDOS_SMSPAY.FCA,這是一種加值服務簡訊濫用程式
  • vShareMarket_​​1.5.9_yeahmobi.apk – 偵測為A,這是個廣告軟體
  • 63_1631_03201923.apk – 這是個正常的應用程式

 

第二個網站

「持續」是用來描述第二個網站行為的最佳字眼。在被重新導到一個不同網站後,使用者會遇到一個彈跳視窗,就算點擊「OK」按鈕也不會讓它消失。關閉瀏覽器不會解決彈跳視窗的問題,也不會清除記憶體。重新打開瀏覽器之後還會出現相同的頁籤。要特別指出的是,並不會下載檔案到行動設備上。

 

圖2、第二個網站(左)和持續跳出的視窗(右)

繼續閱讀