FreeBuf卡巴斯基:手机广告软件分析


许多用户抱怨未知来源广告软件被安装在手机上 。 广告软件可植入到系统分区中或者在代码级别嵌入到不可删除的系统应用和库中 。 数据显示 , 受恶意软件或广告软件攻击的所有用户中有14.8%的用户系统分区受到感染 。
不可删除广告软件引入设备主要有两种策略:
1、获得设备root权限 , 并在系统分区中安装软件;2、在购买手机前就已经在设备固件之中 。
2019年5月至2020年5月系统分区中存在恶意软件或广告软件的用户地理分布:
FreeBuf卡巴斯基:手机广告软件分析
本文插图
恶意软件分析Trojan-Dropper.AndroidOS.Agent.pe该混淆木马通常隐藏在处理系统图形界面应用程序或“设置”程序中 ,恶意软件传播植入有效负载 , 有效负载又可以下载运行任意文件 。 其payload功能代码如下:
FreeBuf卡巴斯基:手机广告软件分析
本文插图
FreeBuf卡巴斯基:手机广告软件分析
本文插图
Trojan.AndroidOS.Sivu.cSivu木马是伪装成HTMLViewer应用程序的Dropper 。 该恶意软件包含两个模块 , 可以在设备上使用root权限 。 第一个模块在其他窗口顶部和通知中显示广告:
FreeBuf卡巴斯基:手机广告软件分析
本文插图
第二个模块是后门模块 , 可远程控制智能手机 。 它的功能包括安装 , 卸载和运行应用程序 , 这些应用程序可以根据目标静默安装应用程序 。
FreeBuf卡巴斯基:手机广告软件分析
本文插图
AdWare.AndroidOS.Plague.f该广告软件应用程序会伪装成系统服务 , 自称Android服务(com.android.syscore) 。 它可以后台下载安装应用 , 也可以在通知中显示广告 。
FreeBuf卡巴斯基:手机广告软件分析
本文插图
Trojan.AndroidOS.Agent.pacAgent.pac可以模仿CIT TEST应用 , 该应用可以检查设备组件的操作 。 在C&C的命令下 , 它可以运行应用程序 , 打开URL , 下载和运行任意DEX文件(如下图) , 安装/卸载应用程序 , 显示通知并启动服务 。
FreeBuf卡巴斯基:手机广告软件分析
本文插图
Trojan-Dropper.AndroidOS.Penguin.e该木马程序隐藏在名为STS的应用程序中 , 该应用程序除了显示广告外没有其他功能 。 它可以部署ToastWindow函数 , 该函数类似于SYSTEM_ALERT_WINDOW位于所有应用程序顶部的窗口 。
FreeBuf卡巴斯基:手机广告软件分析
本文插图
该应用还可以下载运行代码:
FreeBuf卡巴斯基:手机广告软件分析
本文插图
Trojan-Downloader.AndroidOS.Necro.dNecro.d位于系统目录中的本地库 。 它的启动机制内置在另一个系统库libandroid_servers.so中 , 该库处理Android服务的操作 。
木马加载代码:
FreeBuf卡巴斯基:手机广告软件分析
本文插图
在C&C的命令下 , Necro.d可以下载 , 安装 , 卸载和运行应用程序 , 并在手机中预留后门 。 远程命令执行代码如下:
FreeBuf卡巴斯基:手机广告软件分析
本文插图
Necro.d可以下载Kingroot:
FreeBuf卡巴斯基:手机广告软件分析


推荐阅读