Comment effectuer une analyse des logiciels malveillants sur Google Play

Plusieurs applications malveillantes (détectées par Trend Micro sous le nom AndroidOS_BadBooster.HRX) ont été récemment découvertes sur Google Play, capables d'accéder à des serveurs de configuration de publicités malveillantes à distance, d'effectuer de la fraude publicitaire et de télécharger jusqu'à 3 000+ variantes de logiciels malveillants ou charges utiles malveillantes. . Ces applications malveillantes améliorent les performances des appareils en nettoyant, organisant et supprimant des fichiers et ont été téléchargées plus de 470 000 fois. La campagne est active depuis 2017 et Google Play a supprimé les applications malveillantes du magasin.

Selon l'analyse, 3 000 variantes de logiciels malveillants ou charges utiles malveillantes sont téléchargées sur l'appareil, déguisées en lanceur d'appareil ou en programme système qui n'affiche pas d'icône dans la liste des programmes. Un attaquant pourrait utiliser un appareil concerné pour publier de faux avis en faveur d'une application malveillante et commettre une fraude publicitaire en cliquant sur des publicités pop-up.

Analyse technique

Le programme nommé Speed ​​​​Clean dans la campagne d'attaque a un coup de pouce aux fonctionnalités de performances de l'appareil. Des publicités apparaissent lors de l'utilisation de l'application, ce qui semble être un comportement inoffensif pour les applications mobiles.

Speed ​​Clean peut également activer un fond actif transparent pour masquer les contenus malveillants.

Après cela, un service malveillant nommé "com.adsmoving.MainService" sous le package Java "com.adsmoving" sera établi avec connexion au serveur de configuration de la publicité à distance pour enregistrer de nouveaux utilisateurs d’installation malveillants. Une fois l'enregistrement terminé, Speed ​​​​Clean commencera à diffuser des publicités malveillantes aux utilisateurs, et le contenu publicitaire malveillant et les chevaux de Troie seront affichés sous la « page recommandée » de l'application.

La figure 6 montre le trafic des logiciels malveillants.

Après avoir installé "alps-14065.apk", aucune icône d'application ne s'affichera sur le lanceur ou sur la liste des programmes de l'appareil. Il ajoutera une application nommée « com.phone.sharedstorage » qui se trouve dans « Applications téléchargées ». Identique à ANDROIDS TOASTAMIGO, l'une des familles de malwares Android détectées en 2017, l'application Speed ​​​​Clean peut télécharger des variantes ou des charges utiles de malware, réalisant ainsi différentes fraudes publicitaires. Certains comportements frauduleux typiques de publicité malveillante utilisés dans cette attaque sont les suivants :

1. Simulez les utilisateurs cliquant sur des publicités. Des applications malveillantes sont intégrées à des plateformes de publicité mobile légitimes, telles que Google AdMob et Facebook.

2. Installez les applications des plateformes de publicité mobile dans des environnements virtuels pour éviter qu'elles ne soient découvertes par les utilisateurs.

3. Pour inciter les utilisateurs à activer les autorisations d'accès et à désactiver la fonction de protection de sécurité de Google Play Protect. Assurez-vous que les charges utiles malveillantes peuvent télécharger et installer davantage d’applications malveillantes sans être découvertes par les utilisateurs.

4. Utilisez les appareils concernés pour publier de faux avis.

5. Utilisez la fonction d'accessibilité pour vous connecter au malware à l'aide des comptes Google et Facebook.

Les informations obtenues à partir des variantes de logiciels malveillants et des charges utiles malveillantes associées à cette campagne sont les suivantes :

#🎜 🎜#

Il a également été constaté que les pays ou régions les plus infectés sont le Japon, Taiwan, les États-Unis, l'Inde et la Thaïlande.

La valeur du paramètre géographique du code de pays peut être modifiée en n'importe quel code de pays, même un code de pays aléatoire inexistant, le serveur de configuration des annonces à distance renvoie toujours du contenu malveillant, mais la campagne exclut les utilisateurs chinois.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!