如何進行Google Play惡意軟體的分析

最近在Google Play上發現了多個惡意應用程式（由Trend Micro偵測為AndroidOS_BadBooster.HRX），它們能夠存取遠端惡意廣告設定伺服器、進行廣告詐騙並下載多達3000多個惡意軟體變體或惡意負載。這些惡意應用程式透過清理、組織和刪除檔案來提高裝置效能，已被下載超過47萬次。該攻擊活動自2017年以來一直很活躍，Google Play已經從商店中刪除了惡意應用程式。

根據分析，3000個惡意軟體變體或惡意有效負載會下載到裝置上，偽裝成裝置啟動程式或程式清單上不顯示圖示的系統程式。攻擊者可以使用受影響的裝置發表有利於惡意應用程式的虛假評論，並透過點擊彈出的廣告來進行廣告詐欺。

技術分析

攻擊活動中名為Speed Clean的程式具有提升行動裝置效能的功能。使用時應用程式會彈出廣告，看起來對於行動應用程式來說是無害的行為。

Speed Clean也能夠啟動透明的活動背景來隱藏惡意內容。

這之後，Java包「com.adsmoving」下名為「com.adsmoving.MainService」的惡意服務將建立與遠端廣告配置伺服器的連接，註冊新的惡意安裝用戶。註冊完成後Speed Clean將開始向用戶推送惡意廣告，惡意廣告內容和木馬程式將顯示在應用程式的「推薦頁面」下。

圖6為惡意軟體流量。

在安裝了「alps-14065.apk」之後，啟動程式或裝置的程式清單上也不會顯示任何應用程式圖示。它會添加了一個名為“com.phone.sharedstorage”的應用程序，可以在“下載的應用程式”中找到。

與2017年偵測到的安卓惡意軟體家族之一ANDROIDS TOASTAMIGO相同，Speed Clean應用程式可以下載惡意軟體變體或有效載荷，從而執行不同的廣告詐欺。本次攻擊活動中使用的一些典型惡意廣告詐欺行為如下：

1、模擬使用者點擊廣告。惡意應用程式整合在合法的行動廣告平台中，如GoogleAdMob和Facebook等。

2、將來自行動廣告平台的應用程式安裝到虛擬環境中，以防止被使用者發現。

3、誘使用戶啟用存取權限，停用Google Play Protect的安全保護功能。確保惡意負載可以下載並安裝更多的惡意應用程序，不會被用戶發現。

4、使用受影響裝置發布虛假評論。

5、使用accessibility功能利用Google和Facebook帳號登陸惡意軟體。

從惡意軟體變體以及與此攻擊活動相關的惡意有效載荷中獲取資訊如下：

#也注意到受感染最嚴重的國家或地區是日本、台灣、美國、印度和泰國。

#

可以將國家/地區代碼的地理參數值修改為任何國家/地區代碼，甚至是隨機的不存在的國家/地區代碼，遠端廣告配置伺服器始終返回惡意內容，但是該活動排除了中國用戶。

#

以上是如何進行Google Play惡意軟體的分析的詳細內容。更多資訊請關注PHP中文網其他相關文章！