卡巴斯基报告:安卓系统 APP 中可疑广告模块应用

admin 2020年6月9日09:48:44安全新闻评论311 views1891字阅读6分18秒阅读模式

原文:Aggressive in-app advertising in Android
译者:知道创宇404实验室翻译组

近期,Google Play上流行应用程序中的可疑广告模块越来越多,其观看次数也在不断增加,与白名单广告模块相比,它们为开发人员带来了更多收入,但此类SDK的获利方法可能会对用户形成网络威胁。本文将对之前所提到的流行应用程序中的可疑广告模块进行研究。

第一个研究的应用程序,它允许用户匿名提问。com.haskfm.h5mob模块将数据集成到该程序前期的代码中,其任务是在用户解锁手机时显示侵入性广告(违反Google Play规则)。

卡巴斯基报告:安卓系统 APP 中可疑广告模块应用

卡巴斯基报告:安卓系统 APP 中可疑广告模块应用

屏幕解锁时显示广告的代码

换句话说,无论该应用程序是否正在运行,该模块都可以显示广告,广告会在屏幕上自动弹出。我们将调查结果发送给了应用程序开发人员,他们立即删除了com.haskfm.h5mob。但是,从技术角度来看,该模块仍然很有趣。

在这个用于接收广告优惠的应用程序中,模块连接到C&C服务器,其地址已经在应用程序代码中进行了加密。

卡巴斯基报告:安卓系统 APP 中可疑广告模块应用

解密C&C地址

C&C服务器响应内容包含主要的参数和广告商。

{"status":1,
"msg":"Success",
"data":{"rqect":0,
"ldfr":1,
"tifr":1,
"appintset":43200000,
"swpa":1,
"ssjp":1,
"tcap":86400000,
"ctoftime":3600000,
"jtslist":[{"domain":"app.appsflyer.com","format":"&android_id={android_id}&advertising_id={gaid}"},
{"domain":"app.adjust.com","format":"&android_id={android_id}&gps_adid={gaid}"},
{"domain":"app.adjust.io","format":"&android_id={android_id}&gps_adid={gaid}"},

此处最有趣的参数是appintset,它会在程序安装后显示的第一个广告上进行延迟。在我们的样本中,我们将其设置为4320万毫秒(即12小时),这种延迟会导致用户在第一时间很难察觉到已经显示的所有广告。此外,操作者们还会使用此技术来绕过程序本身具有自动保护机制(如应用程序商店中的沙箱)。主要参数中还有广告商的相关信息,其中还包含用于接收报价的请求参数。

之前我们在没有有效负载的应用程序中检测到过类似的广告模块。如,com.android.ggtoolkit_tw_xd应用中的代码并没有检测到病毒AdWare.AndroidOS.Magic.a,其包含与com.haskfm.h5mob相同的功能,并且会通过相同的C&C模块进行管理。但此广告软件的应用程序没有图形界面可言,而且在设备的应用程序菜单中进行显示,只会显示插入式广告

此外,虽然第一个示例中的应用程序创建者删除了广告模块,但并非所有的Android开发者都这样。如,不论程序是否运行,“CutOut & Photo Background” 都会在手机解锁后立即处理半屏广告。

卡巴斯基报告:安卓系统 APP 中可疑广告模块应用

同样,清洁软件“SpeedBooster & Cleaner”也会进行类似操作。

卡巴斯基报告:安卓系统 APP 中可疑广告模块应用

在这两个应用程序中,com.vision.lib也会处理广告的显示。

卡巴斯基报告:安卓系统 APP 中可疑广告模块应用

在本文撰写期间,这两个程序的开发人员均未响应我们的要求。

但值得注意的是,广告软件并不总是与金钱诱惑有关。一般的开发人员并不精通广告SDK,并且缺乏测试集成广告库的必要技能,因此可能无法完全了解代码库的构成。在这样的情况下,用户会面临可疑库升级到应用程序中来作为行列文件更新的一部分,而程序员们对于侵入性广告来源的查找会变得更加困难。

IOCs

MD5
1eeda6306a2b12f78902a1bc0b7a7961 – com.android.ggtoolkit_tw_xd
134283b8efedc3d7244ba1b3a52e4a92 – com.xprodev.cutcam
3aba867b8b91c17531e58a9054657e10 – com.powerd.cleaner

С&C
ti.domainforlite[.]com/st/hg
uu.domainforlite[.]com


卡巴斯基报告:安卓系统 APP 中可疑广告模块应用本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:http://www.hackdig.com/06/hack-95507.htm

本文来源于互联网:卡巴斯基报告:安卓系统 APP 中可疑广告模块应用

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年6月9日09:48:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  卡巴斯基报告:安卓系统 APP 中可疑广告模块应用 http://cn-sec.com/archives/78035.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: