最近我在 Google Play 商店发现了一个大型的 HiddenAds 活动,透过游戏应用程式进行散播。这一初步发现是通过 apklab.io的自动检测工具进行的,该工具根据与之前在 Play 商店出现的 HiddenAds 活动相似的特征进行分析。在进一步分析这款应用程式后,我利用 Avast的移动威胁情报平台
辨识出了一个更广泛的活动,这是通过比较类似的活动、特征和网络流量实现的。总共,我发现了 47 款应用程式。
这些应用在 Play 商店的评价不佳,加上它们能够隐藏图标并在应用外显示广告,这进一步确认了它们属于 HiddenAds 家族。
一款应用引出 47 款
当我确定
这款应用属于 HiddenAds 家族后,我利用 开展了对类似应用的搜寻。
我首先查看了应用的入口点,因为 apklab.io将拥有相同活动、接收器和服务的应用归类在一起。能够查看有多少款应用共享一个入口点是一个有用的功能,有助于识别独特的共享特征,这也帮助我发现了一组为原始应用创建的入口点。
apklab.io 的入口点部分。
然后,我在 apklab.io 数据库中使用 service:com.alive.ALiveService.
搜寻拥有这些独特入口点的应用。为了进一步缩小搜寻结果,我添加了 is:PlayFrosting 参数,以寻找 Play 商店上类似的应用。
透过过滤搜寻结果来缩小 APK 的范围。
apklab.io 允许多种过滤标准进行搜寻。我又进行了一次搜寻,使用 f:HideApplicationIconFromLauncher
来识别隐藏图标的应用。
在继续搜寻的过程中,我利用动态网络转储功能找到更多类似的应用。这项功能收集应用网络活动的信息,而在这个案例中,几款应用访问了特定的 URL。
动态网络转储结果。
我使用了 URL 搜寻过滤器 host:”res.resvivinew.com” ,并找到了额外的 HiddenAds 应用,它们共享这个 URL连接。
URL 搜寻结果找到更多应用。
我结合这些搜寻方法以及其他访问的 URL 和活动,检测到了超过 200 款 HiddenAds APK。在这些应用中,有 47 款在 Play商店上线。apklab.io 是一个出色的工具,用于初步发现和评估特定应用家族的广泛性。
更深入的观察
在深入分析这些应用的代码时,显示这些确实是重新打包的游戏,并添加了一层 HiddenAds代码。这些应用的较新版本仅有略微不同的代码,但总体上,这些应用拥有几乎相同的 HiddenAds代码。添加的代码是故意混淆的,并包含从启动器隐藏图标的能力。这些应用在安装后等待一段时间,然后启动隐藏图标的过程。
在我分析的其中一款应用
中,安装后会启动十分钟的延迟执行计时器。这提供了足够的时间来玩前三个免费关卡。游戏在使用期间会定期检查计时器。同时,一个广播接收器监控
USER_PRESENT 广播,以检查手机是否解锁。如果解锁,则重置计时器。一旦达到十分钟的延迟,隐藏图标的任务就会被触发。
用于隐藏图标过程的主要启动器活动。
过程的开始是禁用主要的启动活动,在这个案例中 SplashActivity 是主要的启动活动。
使用 PackageManager 禁用主要启动活动。
PackageManager 被用来通过 setComponentEnabledSetting
隐藏启动器中的图标。这个设置禁用主要的启动活动,并随之隐藏应用的启动图标。
使用 INSTALL_SHORTCUT 创建快捷方式。
然后,应用使用 INSTALL_SHORTCUT
启动器动作在主屏幕上创建了一个快捷方式。这个快捷方式不同于启动器图标,即便被删除,也不会将应用从设备中移除。
用户可能会发现应用是广告的来源并删除新创建的快捷方式,但这不会将应用从设备中移除。令用户沮丧的是,广告将持续显示,直到通过设备的应用设置将应用移除。
一旦图标被隐藏,这些应用开始在应用外显示广告。这些应用能够通过横幅和通知在其他应用上显示干扰性广告。几款应用甚至会打开浏览器来显示额外的广告。
Play 商店的警示信号
这些应用的另一共同特征是开发者的开发者档案中只有一款应用,并且拥有通用的电子邮件地址。同样,所有应用的服务条款相同,这可能表明有一位操作者在主导这个有组织的活动。这些警示信号可能会在用户中被识别。
通用的开发者名称和电子邮件地址。
这些开发者可能将应用分散到不同的开发者档案下,以避免被检测到,并且使得移除广告软体更加困难。
每个开发者档案下只归属一款应用。
应用评价对于普通用户来说可能是一个潜在的警面信号,因为这些评价展示了用户的挫折感和应用中的恶意功能。
用户正确指出应用的广告软体特性。
散播状况
这些应用加起来已被下载超过 1500 万次。其中几款应用自五月初以来一直在 Play 商店中上线,这也促成了它们的高下载量。
应用名称 | 下载数量
—|—
| 1,000,000
| 1,000,000
| 1,000,000
| 1,000,000
| 500,000
| 500,000
| 500,000
| 500,000
| 500,000
| 500,000
| 500,000
| 500,000
| 500,000
| 500,000
| 500,000
| 500,000
| 500,000
| 500,000
| 500,000
在 Play 商店上发现的下载数量最多的 HiddenAds 应用。
看来这个活动最初针对的是印度和东南亚的用户。根据之前的 HiddenAds活动,这些应用可能通过针对这些地区的游戏广告进行散播。由于开发者的通用详情和服务条款,我无法确定这些应用的开发者来自哪里。以下地图显示了 Avast移动安全录得的
应用的前 200 次下载的最初分布。其他调查的应用都呈现类似的初始下载趋势。
地图显示 Avast 录得的前 200 次下载的百分比分布。
我认为如上地图所示的在其他地区的初始扩散,可能是这些应用在 Play 商店存在所造成的“附带损害”。
虽然这提供了初始扩散的快照,但目前这些应用的普遍情况不同。根据 Avast 的内部统计,目前 HiddenAds 活动在巴西、印度和土耳其最为常见。
国家 | 占比
—|—
巴西 | 21%
印度 | 8.10%
土耳其 | 6.30%
阿根廷 | 5.60%
墨西哥 | 3.70%
过去两周内下载过至少一款 HiddenAds 应用的 Avast 用户占比。
HiddenAds 活动能够在全球扩散,这得益于它在 Play 商店的存在。当这些应用一旦从 Play 商店移除,用户数量可能会迅速下降。
总结
多亏了 ,我们成功找到了 47 款违反 Google 开发者
和
政策的应用,还有我们最初发现的那一款。我们已将这些报告给 Google,目前 Google 已经移除了其中 30 款应用。像 HiddenAds这样的活动可能通过掩盖其真实目的或通过增量版本更新引入侵入性广告和隐藏图标功能进入 Play商店。一些活动的操作者对每款上传的应用使用一次性开发者账户,使未来活动进入 Play 商店变得困难。Avast 将通过 apklab.io的功能及自动检测持续监控 HiddenAds 活动的进一步发展。
样本
由于样本数量庞大,我们仅选择了在 Play 商店上架的 APK 并将它们放入这个
。
避免广告软体的小贴士
- 安装可信赖的防病毒应用。防病毒能作为安全网,保护你不受广告软体的侵害。
- 下载应用时要谨慎。在安装新应用之前,仔细阅读应用的评价,包括正面和负面评价。如果有任何评论指出应用未达到其声称的效果,或表示“这款应用含有广告软体”,一定要慎重考虑是否下载!这样的评价是异常的警示信号。
- 始终仔细检查应用权限,确保这些权限是合理的。错误的权限设置可能会将敏感数据发送给网络犯罪分子,包括存储在设备上的联系人、媒体文件和个人聊天的见解。如果发现任何不寻常或过度的权限要求,应避免下载该应用。
标签:、、、、、、
分享:XFacebook
