Play商店下架15款安卓壁纸应用,涉嫌广告点击欺诈

栏目: IOS · Android · 发布时间: 5年前

内容简介:最近,趋势科技在Google Play应用商店中发现了15款存在广告点击欺诈行为的壁纸应用。在撰写本文时,这些应用已经被下载了222,200多次。趋势科技的遥测数据显示,受感染的用户主要集中在意大利、中国台湾、美国、德国和印度尼西亚。目前,谷歌已经确认并下架了所有这些应用。

Play商店下架15款安卓壁纸应用,涉嫌广告点击欺诈

最近,趋势科技在Google Play应用商店中发现了15款存在广告点击欺诈行为的壁纸应用。在撰写本文时,这些应用已经被下载了222,200多次。趋势科技的遥测数据显示,受感染的用户主要集中在意大利、中国台湾、美国、德国和印度尼西亚。目前,谷歌已经确认并下架了所有这些应用。

Play商店下架15款安卓壁纸应用,涉嫌广告点击欺诈

图1. Google Play应用商店中的恶意壁纸应用

以下是完整列表:

Play商店下架15款安卓壁纸应用,涉嫌广告点击欺诈

行为分析

总的来说,这些应用都被设计得十分精美,并表示可以为用户提供大量漂亮的壁纸。值得注意的是,这些应用本身也拥有很高的用户评价和大量的好评,但趋势科技怀疑这些好评都是刷出来的,旨在诱使用户下载。

Play商店下架15款安卓壁纸应用,涉嫌广告点击欺诈

图2.Wild Cats HD Wallpaper app已经被下载了超过10,000次,在Google Play商店中的评分为4.8。

在被下载之后,这些应用就会解码其命令和控制(C&C)服务器的地址。

Play商店下架15款安卓壁纸应用,涉嫌广告点击欺诈

图3.解码C&C服务器的地址

整个过程是在后台静默完成的,因此不会引起用户的注意。一旦应用启动,就会向C&C服务器发送一个HTTP GET请求,以获取一个JSON格式的feed列表。

Play商店下架15款安卓壁纸应用,涉嫌广告点击欺诈

图4.整个过程在后台静默完成

Play商店下架15款安卓壁纸应用,涉嫌广告点击欺诈

图5. C&C服务器的响应

当这个feed列表运行时,每一个初始化的feed和object都包含fallback_URL、type、UA、URL、referer、x_requested_with和keywords。

Play商店下架15款安卓壁纸应用,涉嫌广告点击欺诈

图6.初始化的feed列表

然后,这些应用会从Google Play Services获取Advertising ID,并替换URL中的一些参数——使用Advertising ID替换ANDROID_ID,将BUNDLE_ID替换为应用的包名,将IP替换为受感染设备的当前IP等。在所有参数替换完成之后,这些应用将根据type加载URL。

Play商店下架15款安卓壁纸应用,涉嫌广告点击欺诈

图7.构造欺诈性的fallback_URL

在加载URL时,浏览器背景将被设置为透明。

Play商店下架15款安卓壁纸应用,涉嫌广告点击欺诈

图8.浏览器背景被设置为透明

在加载URL之后,这些应用就会开始模仿广告页面上的点击行为。

Play商店下架15款安卓壁纸应用,涉嫌广告点击欺诈

图9.模仿广告点击

简单来说,网络罪犯分子就是通过替换参数来获取非法收益的。谷歌为Android开发者提供的ID(如Advertising ID、Advertiser ID、device ID等),是针对用户的匿名标识符,用户可以通过这些标识来使自己开发的应用拥有获取广告收益的能力。而这些恶意壁纸应用通过将 ANDROID_ID、BUNDLE_ID、IP、USER_AGENT替换为Advertising ID、应用包名、当前IP和当前浏览器的用户代理构建了一个欺诈性的fallback_URL,进而模仿广告点击来执行广告点击欺诈行为。例如,如果原始URL是:

http://pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid={ANDROID_ID}&bundle={BUNDLE_ID}&ip={IP}&ua={USER_AGENT}&cb=5c1236f316e45

那么,它将被替换为:

http://pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid=260903559217b3a8&bundle=com.amz.wildcats&ip= 203.90.248.163&ua=Mozilla/5.0 (Linux; Android 6.0.1; MuMu Build/V417IR; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/52.0.2743.100 Mobile Safari/537.36&cb=5c1236f316e45

解决方案

作为普通用户,我们必须时刻保持网络安全意识,并仔细查看下载的应用程序,因为网络犯罪分子必然将继续通过某些应用程序的功能来获取非法收益、窃取信息,以及实施攻击。此外,我们有必要对自己的移动设备进行全面的安全防护(从系统到应用程序),以防御移动恶意软件。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

大转换

大转换

尼古拉斯·卡尔 / 闫鲜宁、张付国 / 中信 / 2016-2 / 49

1、我们这个时代最清醒的思考者之一尼古拉斯·卡尔继《浅薄》《玻璃笼子》之后又一重磅力作。 2、在这部跨越历史、经济和技术领域的著作中,作者从廉价的电力运营方式对社会变革的深刻影响延伸到互联网对我们生活的这个世界的重构性影响。 3、《快公司》《金融时报》《华尔街日报》联袂推荐 简介 早在2003年,尼古拉斯·卡尔先生发表在《哈佛商业评论》上的一篇文章——IT Doesn't ......一起来看看 《大转换》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

随机密码生成器
随机密码生成器

多种字符组合密码

URL 编码/解码
URL 编码/解码

URL 编码/解码