“美颜”有毒
我们在Google Play上发现了几款美容相机应用(检测为AndroidOS_BadCamera.HRX),可以访问用于恶意目的的远程广告配置服务器。其中一些已经被下载了数百万次,考虑到这些类型的应用程序的流行,这并不奇怪。大量的下载来自亚洲,尤其集中在印度。
图1. Google Play上恶意美容相机应用的屏幕截图
技术分析
下载应用程序的用户不会立即怀疑其有任何不妥之处,直到他们决定删除该应用程序。以com.beauty.camera.project.cloud包为例,它将在启动后创建一个快捷方式。但是,它会将其图标从应用程序列表中隐藏,这使得用户更难以卸载该应用程序,因为他们无法拖动和删除。此外,相机应用程序使用加壳程序来防止它们被分析。
图2.显示恶意应用程序如何从应用程序列表中隐藏自身的代码段
当用户解锁设备时,该应用会推送几个全屏广告,包括将通过用户的浏览器弹出的恶意广告(如欺诈性内容和色情内容)。在分析过程中,我们发现了一个付费的在线色情播放器(检测为AndroidOS_PornPlayer.UHRXA),在点击弹出窗口时下载了该播放器。但请注意,即使在用户付费并启动播放器之后,也不会播放任何内容。
没有任何迹象表明这些应用程序的背后是广告,因此用户会很难发现它们的来源。其中一些应用程序重定向到网络钓鱼网站,要求用户提供个人信息,例如地址和电话号码。例如,在下图中,单击中间屏幕截图中的“确定”按钮将用户重定向到新页面,这将为用户提供三次尝试以赢得奖品。第三次尝试将始终允许用户获胜,之后将出现一个表单,询问用户详细信息。
图3.弹出广告的屏幕截图(中间截图中的中文文本是用户赢得iPhone X的公告,在弹出窗口上单击确定将显示钓鱼网站)
该应用程序将从以下远程服务器和外部URL下载广告配置,它们将分析目标设备以确定广告的行为:
· hxxps://d3pukqxlxhielm.cloudfront.net/congfig[.]json
· hxxps://dgld3i8oh1hf6.cloudfront.net/congfig[.]json
然后安排后台服务解析配置并调用设备的浏览器。
图4和5.网络流量和代码段显示浏览器弹出不需要的广告
另一批恶意相机应用程序
进一步深入调查后,发现了另一批与照片过滤器相关的应用程序,它们在Google Play上具有相似的行为。这些应用程序允许用户通过将他们的图片上传到指定的服务器来“美化”。但是,用户不会获得最终已编辑的照片,取而代之的是使用九种不同语言的假冒更新提示获取图片。作者可以收集在应用程序中上传的照片,并可能将其用于恶意目的 – 例如,在社交媒体中伪造的个人资料照片。
图6:ART照片编辑器(中间:“编辑过程”,右:虚假更新)
这些应用程序使用的远程服务器在代码中使用BASE64编码了两次。此外,其中一些应用程序也可以通过上面提到的相同隐藏技术隐藏自己。
在撰写本文时,谷歌已经删除了这些应用程序。
图7:从Google Play下载的恶意相机过滤应用
建议
鉴于许多恶意应用程序看起来都很合法,用户应该始终调查应用程序的合法性。一个好方法是检查来自其他用户的评论。如果评论提到任何类型的可疑行为,那么就不要下载应用程序。
图8.来自其中一个应用程序的评论(大多数分数是五星级或一星级,呈“U”形曲线,这可能表明合法评论者给出的评分较低,而假冒评分则给出尽可能高的评分)
IoCs
我们在Google Play上发现了几款美容相机应用(检测为AndroidOS_BadCamera.HRX),可以访问用于恶意目的的远程广告配置服务器。其中一些已经被下载了数百万次,考虑到这些类型的应用程序的流行,这并不奇怪。大量的下载来自亚洲,尤其集中在印度。
图1. Google Play上恶意美容相机应用的屏幕截图
技术分析
下载应用程序的用户不会立即怀疑其有任何不妥之处,直到他们决定删除该应用程序。以com.beauty.camera.project.cloud包为例,它将在启动后创建一个快捷方式。但是,它会将其图标从应用程序列表中隐藏,这使得用户更难以卸载该应用程序,因为他们无法拖动和删除。此外,相机应用程序使用加壳程序来防止它们被分析。
图2.显示恶意应用程序如何从应用程序列表中隐藏自身的代码段
内容来自无奈安全网
当用户解锁设备时,该应用会推送几个全屏广告,包括将通过用户的浏览器弹出的恶意广告(如欺诈性内容和色情内容)。在分析过程中,我们发现了一个付费的在线色情播放器(检测为AndroidOS_PornPlayer.UHRXA),在点击弹出窗口时下载了该播放器。但请注意,即使在用户付费并启动播放器之后,也不会播放任何内容。
没有任何迹象表明这些应用程序的背后是广告,因此用户会很难发现它们的来源。其中一些应用程序重定向到网络钓鱼网站,要求用户提供个人信息,例如地址和电话号码。例如,在下图中,单击中间屏幕截图中的“确定”按钮将用户重定向到新页面,这将为用户提供三次尝试以赢得奖品。第三次尝试将始终允许用户获胜,之后将出现一个表单,询问用户详细信息。
图3.弹出广告的屏幕截图(中间截图中的中文文本是用户赢得iPhone X的公告,在弹出窗口上单击确定将显示钓鱼网站)
该应用程序将从以下远程服务器和外部URL下载广告配置,它们将分析目标设备以确定广告的行为:
· hxxps://d3pukqxlxhielm.cloudfront.net/congfig[.]json www.wnhack.com
· hxxps://dgld3i8oh1hf6.cloudfront.net/congfig[.]json
然后安排后台服务解析配置并调用设备的浏览器。
图4和5.网络流量和代码段显示浏览器弹出不需要的广告
另一批恶意相机应用程序
进一步深入调查后,发现了另一批与照片过滤器相关的应用程序,它们在Google Play上具有相似的行为。这些应用程序允许用户通过将他们的图片上传到指定的服务器来“美化”。但是,用户不会获得最终已编辑的照片,取而代之的是使用九种不同语言的假冒更新提示获取图片。作者可以收集在应用程序中上传的照片,并可能将其用于恶意目的 – 例如,在社交媒体中伪造的个人资料照片。
copyright 无奈人生
图6:ART照片编辑器(中间:“编辑过程”,右:虚假更新)
这些应用程序使用的远程服务器在代码中使用BASE64编码了两次。此外,其中一些应用程序也可以通过上面提到的相同隐藏技术隐藏自己。
在撰写本文时,谷歌已经删除了这些应用程序。
图7:从Google Play下载的恶意相机过滤应用
建议
鉴于许多恶意应用程序看起来都很合法,用户应该始终调查应用程序的合法性。一个好方法是检查来自其他用户的评论。如果评论提到任何类型的可疑行为,那么就不要下载应用程序。
图8.来自其中一个应用程序的评论(大多数分数是五星级或一星级,呈“U”形曲线,这可能表明合法评论者给出的评分较低,而假冒评分则给出尽可能高的评分)
IoCs
本文来自无奈人生安全网