安全研究人员近日在应用程序商店 Google Play 上发现了 75 个参与广告欺诈活动的应用程序,在另一家应用程序商店:苹果的 App Store 上发现了 10 个同类性质的应用程序。这些应用程序的安装量共达 1300 万人次。
除了向移动用户发送大量明显和隐藏的广告外,欺诈性应用程序还通过冒充合法的应用程序和广告印象来实现创收。
虽然这些类型的应用程序没有被视为是严重威胁�,但它们的运营商可以使用它们从事更危险的活动���。
HUMAN 的 Satori 威胁情报团队的研究人员近日确定了一批移动应用程序��,认为这些应用程序是他们命名为 Scylla的新广告欺诈活动的一部分�。
分析师认为���,Scylla 是他们在 2019 年 8 月发现的一起行动的第三波���,第一波名为 Poseidon��。第二波显然系同一伙威胁分子所为����,被称为 Charybdis��,在 2020 年底达到了顶峰�。
广告欺诈应用程序
Satori 团队已将他们的发现结果通知谷歌和苹果�����,相应应用程序已从官方的安卓和 iOS 应用程序商店中删除���。
在安卓设备上���,除非你禁用了 Play Protect 安全选项���,否则会自动检测应用程序����。
至于 iOS�,苹果尚不清楚如何删除已安装在设备上的广告软件应用程序��。Human 建议用户删除设备上存在的欺诈性应用程序���。下面是下载次数最多的几个广告欺诈应用程序����:
iOS 应用程序列表�:
• Loot the Castle – com.loot.rcastle.fight.battle ( id1602634568 )
• Run Bridge– com.run.bridge.race ( id1584737005 )
• Shinning Gun – com.shinning.gun.ios ( id1588037078 )
• Racing Legend 3D – com.racing.legend.like ( id1589579456 )
• Rope Runner – com.rope.runner.family ( id1614987707 )
• Wood Sculptor – com.wood.sculptor.cutter ( id1603211466 )
• Fire-Wall – com.fire.wall.poptit ( id1540542924 )
• Ninja Critical Hit – wger.ninjacriticalhit.ios ( id1514055403 )
• Tony Runs – com.TonyRuns.game
安卓应用程序列表
• Super Hero-Save the world����!– com.asuper.man.playmilk
• Spot 10 Differences– com.different.ten.spotgames
• Find 5 Differences– com.find.five.subtle.differences.spot.new
• Dinosaur Legend– com.huluwagames.dinosaur.legend.play
• One Line Drawing– com.one.line.drawing.stroke.yuxi
• Shoot Master– com.shooter.master.bullet.puzzle.huahong
• Talent Trap- NEW– com.talent.trap.stop.all
HUMAN 的报告附有完整列表���,列出了 Scylla 广告欺诈活动的应用程序部分���。
恶意软件的详细信息
Scylla 应用程序通常使用与其发布名称不匹配的捆绑 ID�,好让它在广告商眼里如同广告点击 / 印象来自更有利可图的软件类别�。
HUMAN 的研究人员发现�����,29 个 Scylla 应用程序模仿了多达 6000 个基于联网电视的应用程序�,定期循环使用 ID 以逃避欺诈检测�。
图 1. 带有 ID 欺骗指令的 C2 响应
在安卓上��,广告加载在隐藏的 WebView 窗口中�,因此受害者永远不会注意到任何可疑的地方��,因为这一切都发生在后台�����。
图 2. 识别广告网络视图位置的 UI 元素
图 3. 生成隐形广告的虚假点击
此外��,广告软件使用 "JobScheduler" 系统���,在受害者没有积极使用设备时触发广告印象事件�。
图 4. JobScheduler 代码
欺诈的迹象被记录在日志中�,可以在捕获的网络数据包中看到��,但普通用户通常不会仔细检查这些内容�����。
图 5. 网络日志中的广告流量
相比这起攻击的第一波活动 " 波塞冬 "�,Scylla 应用程序依赖使用 Allatori Java 混淆器的额外代码混淆层�����,这加大了研究人员进行检测和逆向工程的难度����。
用户应该寻找一些通常表明存在问题的迹象���,比如电池快速耗尽和互联网数据使用量增加����,监控其应用程序是否存在恶意或不需要的应用程序����,或者已不记得安装的应用程序��。
还建议检查已安装应用程序列表�,并删除你不记得安装或来自不熟悉供应商的应用程序���。
