ホームページ  >  記事  >  運用・保守  >  Google Play マルウェア分析の実施方法

Google Play マルウェア分析の実施方法

WBOY
WBOY転載
2023-05-15 18:16:21903ブラウズ

最近、複数の悪意のあるアプリケーション (トレンドマイクロでは AndroidOS_BadBooster.HRX として検出) が Google Play で発見されました。これらのアプリケーションは、リモートのマルバタイジング設定サーバーにアクセスし、広告詐欺を実行し、最大 3000 個以上のマルウェアのバリアントまたは悪意のあるソフトウェアをダウンロードすることができます。ペイロード。これらの悪意のあるアプリは、ファイルのクリーニング、整理、削除によってデバイスのパフォーマンスを向上させ、470,000 回以上ダウンロードされています。このキャンペーンは2017年から実施されており、Google Playは悪質なアプリをストアから削除した。

分析によると、3,000 のマルウェアの亜種または悪意のあるペイロードが、デバイス ランチャーまたはプログラム リストにアイコンを表示しないシステム プログラムを装ってデバイスにダウンロードされます。攻撃者は影響を受けるデバイスを使用して、悪意のあるアプリを支持する偽のレビューを投稿し、ポップアップ広告をクリックすることで広告詐欺を行う可能性があります。

如何进行Google Play恶意软件的分析如何进行Google Play恶意软件的分析

技術分析

攻撃活動に含まれる「Speed Clean」という名前のプログラムは、モバイルデバイスのパフォーマンスを向上させる機能を持っています。アプリを使用すると広告がポップアップしますが、これはモバイル アプリにとっては無害な動作と思われます。

如何进行Google Play恶意软件的分析Speed Clean は、透明なアクティブな背景をアクティブにして、悪意のあるコンテンツを隠すこともできます。

如何进行Google Play恶意软件的分析

この後、Java パッケージ「com.adsmoving」の下にある「com.adsmoving.MainService」という名前の悪意のあるサービスが、リモート広告設定への接続を確立します。サーバーに、新しい悪意のあるインストール ユーザーを登録します。登録が完了すると、Speed Cleanはユーザーに悪質な広告をプッシュし始め、アプリの「おすすめページ」に悪質な広告コンテンツやトロイの木馬プログラムが表示されます。

如何进行Google Play恶意软件的分析如何进行Google Play恶意软件的分析如何进行Google Play恶意软件的分析

図 6 は、マルウェアのトラフィックを示しています。

「alps-14065.apk」をインストールすると、ランチャーや端末のプログラムリストにアプリケーションアイコンが表示されなくなります。 「ダウンロードしたアプリケーション」に「com.phone.sharedstorage」という名前のアプリケーションが追加されます。

如何进行Google Play恶意软件的分析

2017 年に検出された Android マルウェア ファミリの 1 つである ANDROIDS TOASTAMIGO と同様に、Speed Clean アプリはさまざまな広告詐欺を実行するマルウェアの亜種またはペイロードをダウンロードできます。 。この攻撃で使用される典型的な悪意のある広告詐欺行為は次のとおりです:

1. ユーザーが広告をクリックするようシミュレートします。悪意のあるアプリケーションは、Google AdMob や Facebook などの正規のモバイル広告プラットフォームに統合されています。
如何进行Google Play恶意软件的分析

2. アプリケーションをモバイル広告プラットフォームから仮想環境にインストールして、ユーザーに発見されないようにします。

如何进行Google Play恶意软件的分析

#3. ユーザーに対し、アクセス許可を有効にし、Google Play プロテクトのセキュリティ保護機能を無効にするよう促します。悪意のあるペイロードがユーザーに発見されることなく、より多くの悪意のあるアプリケーションをダウンロードしてインストールできるようにします。

如何进行Google Play恶意软件的分析

#4. 影響を受けるデバイスを使用して偽のレビューを投稿します。

如何进行Google Play恶意软件的分析

#5. アクセシビリティ機能を使用して、Google および Facebook アカウントを使用してマルウェアにログインします。

如何进行Google Play恶意软件的分析

このキャンペーンに関連するマルウェアの亜種と悪意のあるペイロードから得られる情報は次のとおりです:

如何进行Google Play恶意软件的分析

最も影響を受けている国や地域は、日本、台湾、米国、インド、タイであることも指摘されています。

如何进行Google Play恶意软件的分析

国コードの地域パラメータ値は、ランダムな存在しない国コードであっても、任意の国コードに変更できます。リモート広告設定サーバーは常に悪意のあるコンテンツを返しますが、キャンペーンでは中国人ユーザーが除外されます。

如何进行Google Play恶意软件的分析

以上がGoogle Play マルウェア分析の実施方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明:
この記事はyisu.comで複製されています。侵害がある場合は、admin@php.cn までご連絡ください。