Maison > Opération et maintenance > Sécurité > Comment effectuer une analyse des logiciels malveillants sur Google Play

Comment effectuer une analyse des logiciels malveillants sur Google Play

WBOY
Libérer: 2023-05-15 18:16:21
avant
942 Les gens l'ont consulté

Plusieurs applications malveillantes (détectées par Trend Micro sous le nom AndroidOS_BadBooster.HRX) ont été récemment découvertes sur Google Play, capables d'accéder à des serveurs de configuration de publicités malveillantes à distance, d'effectuer de la fraude publicitaire et de télécharger jusqu'à 3 000+ variantes de logiciels malveillants ou charges utiles malveillantes. . Ces applications malveillantes améliorent les performances des appareils en nettoyant, organisant et supprimant des fichiers et ont été téléchargées plus de 470 000 fois. La campagne est active depuis 2017 et Google Play a supprimé les applications malveillantes du magasin.

Selon l'analyse, 3 000 variantes de logiciels malveillants ou charges utiles malveillantes sont téléchargées sur l'appareil, déguisées en lanceur d'appareil ou en programme système qui n'affiche pas d'icône dans la liste des programmes. Un attaquant pourrait utiliser un appareil concerné pour publier de faux avis en faveur d'une application malveillante et commettre une fraude publicitaire en cliquant sur des publicités pop-up.

如何进行Google Play恶意软件的分析如何进行Google Play恶意软件的分析

Analyse technique

Le programme nommé Speed ​​​​Clean dans la campagne d'attaque a un coup de pouce aux fonctionnalités de performances de l'appareil. Des publicités apparaissent lors de l'utilisation de l'application, ce qui semble être un comportement inoffensif pour les applications mobiles.

如何进行Google Play恶意软件的分析Speed ​​Clean peut également activer un fond actif transparent pour masquer les contenus malveillants.

如何进行Google Play恶意软件的分析

Après cela, un service malveillant nommé "com.adsmoving.MainService" sous le package Java "com.adsmoving" sera établi avec connexion au serveur de configuration de la publicité à distance pour enregistrer de nouveaux utilisateurs d’installation malveillants. Une fois l'enregistrement terminé, Speed ​​​​Clean commencera à diffuser des publicités malveillantes aux utilisateurs, et le contenu publicitaire malveillant et les chevaux de Troie seront affichés sous la « page recommandée » de l'application.

如何进行Google Play恶意软件的分析如何进行Google Play恶意软件的分析如何进行Google Play恶意软件的分析

La figure 6 montre le trafic des logiciels malveillants.

Après avoir installé "alps-14065.apk", aucune icône d'application ne s'affichera sur le lanceur ou sur la liste des programmes de l'appareil. Il ajoutera une application nommée « com.phone.sharedstorage » qui se trouve dans « Applications téléchargées ». Identique à ANDROIDS TOASTAMIGO, l'une des familles de malwares Android détectées en 2017, l'application Speed ​​​​Clean peut télécharger des variantes ou des charges utiles de malware, réalisant ainsi différentes fraudes publicitaires. Certains comportements frauduleux typiques de publicité malveillante utilisés dans cette attaque sont les suivants :

1. Simulez les utilisateurs cliquant sur des publicités. Des applications malveillantes sont intégrées à des plateformes de publicité mobile légitimes, telles que Google AdMob et Facebook.

如何进行Google Play恶意软件的分析

2. Installez les applications des plateformes de publicité mobile dans des environnements virtuels pour éviter qu'elles ne soient découvertes par les utilisateurs.


如何进行Google Play恶意软件的分析

3. Pour inciter les utilisateurs à activer les autorisations d'accès et à désactiver la fonction de protection de sécurité de Google Play Protect. Assurez-vous que les charges utiles malveillantes peuvent télécharger et installer davantage d’applications malveillantes sans être découvertes par les utilisateurs.

如何进行Google Play恶意软件的分析

4. Utilisez les appareils concernés pour publier de faux avis.

如何进行Google Play恶意软件的分析

5. Utilisez la fonction d'accessibilité pour vous connecter au malware à l'aide des comptes Google et Facebook.

如何进行Google Play恶意软件的分析

Les informations obtenues à partir des variantes de logiciels malveillants et des charges utiles malveillantes associées à cette campagne sont les suivantes :

#🎜 🎜#

如何进行Google Play恶意软件的分析

Il a également été constaté que les pays ou régions les plus infectés sont le Japon, Taiwan, les États-Unis, l'Inde et la Thaïlande.


如何进行Google Play恶意软件的分析

La valeur du paramètre géographique du code de pays peut être modifiée en n'importe quel code de pays, même un code de pays aléatoire inexistant, le serveur de configuration des annonces à distance renvoie toujours du contenu malveillant, mais la campagne exclut les utilisateurs chinois.

如何进行Google Play恶意软件的分析

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Étiquettes associées:
source:yisu.com
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal