Google Play マルウェア分析の実施方法

最近、複数の悪意のあるアプリケーション (トレンドマイクロでは AndroidOS_BadBooster.HRX として検出) が Google Play で発見されました。これらのアプリケーションは、リモートのマルバタイジング設定サーバーにアクセスし、広告詐欺を実行し、最大 3000 個以上のマルウェアのバリアントまたは悪意のあるソフトウェアをダウンロードすることができます。ペイロード。これらの悪意のあるアプリは、ファイルのクリーニング、整理、削除によってデバイスのパフォーマンスを向上させ、470,000 回以上ダウンロードされています。このキャンペーンは2017年から実施されており、Google Playは悪質なアプリをストアから削除した。

分析によると、3,000 のマルウェアの亜種または悪意のあるペイロードが、デバイス ランチャーまたはプログラム リストにアイコンを表示しないシステム プログラムを装ってデバイスにダウンロードされます。攻撃者は影響を受けるデバイスを使用して、悪意のあるアプリを支持する偽のレビューを投稿し、ポップアップ広告をクリックすることで広告詐欺を行う可能性があります。

技術分析

攻撃活動に含まれる「Speed Clean」という名前のプログラムは、モバイルデバイスのパフォーマンスを向上させる機能を持っています。アプリを使用すると広告がポップアップしますが、これはモバイル アプリにとっては無害な動作と思われます。

Speed Clean は、透明なアクティブな背景をアクティブにして、悪意のあるコンテンツを隠すこともできます。

この後、Java パッケージ「com.adsmoving」の下にある「com.adsmoving.MainService」という名前の悪意のあるサービスが、リモート広告設定への接続を確立します。サーバーに、新しい悪意のあるインストール ユーザーを登録します。登録が完了すると、Speed Cleanはユーザーに悪質な広告をプッシュし始め、アプリの「おすすめページ」に悪質な広告コンテンツやトロイの木馬プログラムが表示されます。

図 6 は、マルウェアのトラフィックを示しています。

「alps-14065.apk」をインストールすると、ランチャーや端末のプログラムリストにアプリケーションアイコンが表示されなくなります。 「ダウンロードしたアプリケーション」に「com.phone.sharedstorage」という名前のアプリケーションが追加されます。

2017 年に検出された Android マルウェア ファミリの 1 つである ANDROIDS TOASTAMIGO と同様に、Speed Clean アプリはさまざまな広告詐欺を実行するマルウェアの亜種またはペイロードをダウンロードできます。 。この攻撃で使用される典型的な悪意のある広告詐欺行為は次のとおりです:

1. ユーザーが広告をクリックするようシミュレートします。悪意のあるアプリケーションは、Google AdMob や Facebook などの正規のモバイル広告プラットフォームに統合されています。

2. アプリケーションをモバイル広告プラットフォームから仮想環境にインストールして、ユーザーに発見されないようにします。

#3. ユーザーに対し、アクセス許可を有効にし、Google Play プロテクトのセキュリティ保護機能を無効にするよう促します。悪意のあるペイロードがユーザーに発見されることなく、より多くの悪意のあるアプリケーションをダウンロードしてインストールできるようにします。

#4. 影響を受けるデバイスを使用して偽のレビューを投稿します。

#5. アクセシビリティ機能を使用して、Google および Facebook アカウントを使用してマルウェアにログインします。

このキャンペーンに関連するマルウェアの亜種と悪意のあるペイロードから得られる情報は次のとおりです:

最も影響を受けている国や地域は、日本、台湾、米国、インド、タイであることも指摘されています。

国コードの地域パラメータ値は、ランダムな存在しない国コードであっても、任意の国コードに変更できます。リモート広告設定サーバーは常に悪意のあるコンテンツを返しますが、キャンペーンでは中国人ユーザーが除外されます。

以上がGoogle Play マルウェア分析の実施方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。