Heim > Betrieb und Instandhaltung > Sicherheit > So führen Sie eine Google Play-Malware-Analyse durch

So führen Sie eine Google Play-Malware-Analyse durch

WBOY
Freigeben: 2023-05-15 18:16:21
nach vorne
950 Leute haben es durchsucht

Kürzlich wurden bei Google Play mehrere Schadanwendungen (von Trend Micro als AndroidOS_BadBooster.HRX erkannt) entdeckt, die auf Remote-Malvertising-Konfigurationsserver zugreifen, Anzeigenbetrug begehen und bis zu 3.000 Malware-Varianten oder Schadsoftware herunterladen können. Diese bösartigen Apps verbessern die Geräteleistung durch Bereinigen, Organisieren und Löschen von Dateien und wurden mehr als 470.000 Mal heruntergeladen. Die Kampagne ist seit 2017 aktiv und Google Play hat die Schad-Apps aus dem Store entfernt.

Laut Analyse werden 3.000 Malware-Varianten oder bösartige Payloads auf Geräte heruntergeladen, getarnt als Systemprogramme, die keine Symbole im Gerätestarter oder in der Programmliste anzeigen. Ein Angreifer könnte ein betroffenes Gerät nutzen, um gefälschte Bewertungen zugunsten einer bösartigen App zu posten und Anzeigenbetrug zu begehen, indem er auf Pop-up-Anzeigen klickt.

如何进行Google Play恶意软件的分析如何进行Google Play恶意软件的分析

Technische Analyse

Das Programm namens Speed ​​​​Clean in der Angriffskampagne hat die Funktion, die Leistung mobiler Geräte zu verbessern. Bei der Nutzung der App werden Werbeanzeigen eingeblendet, was für mobile Apps ein harmloses Verhalten zu sein scheint.

如何进行Google Play恶意软件的分析Speed ​​Clean kann auch einen transparenten aktiven Hintergrund aktivieren, um schädliche Inhalte zu verbergen.

如何进行Google Play恶意软件的分析

Danach stellt der bösartige Dienst namens „com.adsmoving.MainService“ unter dem Java-Paket „com.adsmoving“ eine Verbindung mit dem Remote-Anzeigenkonfigurationsserver her und registriert einen neuen böswilligen Installationsbenutzer. Nach Abschluss der Registrierung beginnt Speed ​​Clean damit, schädliche Werbung an Benutzer weiterzuleiten, und schädliche Werbeinhalte und Trojaner-Programme werden unter der „empfohlenen Seite“ der Anwendung angezeigt.

如何进行Google Play恶意软件的分析如何进行Google Play恶意软件的分析如何进行Google Play恶意软件的分析

Abbildung 6 zeigt den Malware-Verkehr.

Nach der Installation von „alps-14065.apk“ wird im Launcher oder in der Programmliste des Geräts kein Anwendungssymbol angezeigt. Es wird eine Anwendung mit dem Namen „com.phone.sharedstorage“ hinzugefügt, die unter „Heruntergeladene Anwendungen“ zu finden ist.

如何进行Google Play恶意软件的分析

Genau wie ANDROIDS TOASTAMIGO, eine der 2017 entdeckten Android-Malware-Familien, kann die Speed ​​​​Clean-App Malware-Varianten oder Payloads herunterladen, die verschiedene Werbebetrügereien durchführen. Einige typische böswillige Werbebetrugsverhalten, die bei diesem Angriff zum Einsatz kommen, sind wie folgt:

1. Simulieren Sie, dass Benutzer auf Anzeigen klicken. Schädliche Anwendungen werden in legitime mobile Werbeplattformen wie Google AdMob und Facebook integriert.
如何进行Google Play恶意软件的分析

2. Installieren Sie Anwendungen von mobilen Werbeplattformen in virtuellen Umgebungen, um zu verhindern, dass sie von Benutzern entdeckt werden.

如何进行Google Play恶意软件的分析

3. Benutzer dazu verleiten, Zugriffsberechtigungen zu aktivieren und die Sicherheitsschutzfunktion von Google Play Protect zu deaktivieren. Stellen Sie sicher, dass bösartige Payloads weitere bösartige Anwendungen herunterladen und installieren können, ohne von Benutzern entdeckt zu werden.

如何进行Google Play恶意软件的分析

4. Benutzen Sie betroffene Geräte, um gefälschte Bewertungen zu veröffentlichen.

如何进行Google Play恶意软件的分析

5. Nutzen Sie die Barrierefreiheitsfunktion, um sich mit Google- und Facebook-Konten bei der Malware anzumelden.

如何进行Google Play恶意软件的分析

Die Informationen, die aus den mit dieser Kampagne verbundenen Malware-Varianten und bösartigen Payloads gewonnen wurden, lauten wie folgt:

如何进行Google Play恶意软件的分析

Es wird auch darauf hingewiesen, dass die am häufigsten infizierten Länder Japan, Taiwan, die Vereinigten Staaten, Indien und Thailand sind.

如何进行Google Play恶意软件的分析

Der Geo-Parameterwert des Ländercodes kann in einen beliebigen Ländercode geändert werden, sogar in einen zufälligen, nicht vorhandenen Ländercode. Der Remote-Anzeigenkonfigurationsserver gibt immer schädliche Inhalte zurück, die Kampagne schließt jedoch chinesische Benutzer aus.

如何进行Google Play恶意软件的分析

Das obige ist der detaillierte Inhalt vonSo führen Sie eine Google Play-Malware-Analyse durch. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:yisu.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage