公司新闻

潜藏在 Google Play 商店美颜滤镜背后的广告软体

2024-12-26 16:02:00

我们的行动威胁情报平台标记了三个有害的美容应用程式,这些应用程式的后果相当糟糕,已有超过200万装置下载了这些应用。

在2019年2月,Avast的行动威胁情报平台MTIPapklabio发现了一些在Google Play商店中伪装成合法的“自拍美容应用程式”,实际上却充满了广告软体和间谍软体。我们发现的三款应用程式分别是 Pro Selfie Beauty Camera、Selfie Beauty Camera Pro 和 Pretty Beauty Camera 2019。这些应用声称可以为自拍照片添加滤镜并修改照片中人的外貌,但事实上主要包含恶意广告软体,会激烈显示广告以及可以进行通话、窃听通话、检索装置位置和更改装置网路状态的间谍软体。这些应用程式的安装量均超过50万,其中 Pretty Beauty Camera 2019 的安装已超过100万。根据我们的数据,这些应用主要由位于印度的Android用户安装。

这些应用拥有成千上万的评价,大多数评分较低,评论指出这些应用根本无法运作,反而不断显示广告。不过,也有一些正面评价,很可能是虚假的。

隐藏的美丽

一旦安装并启动这些应用,它们会在应用内激烈显示广告,甚至在重新启动手机后在应用外部全屏显示广告。广告的频率由从远端指挥和控制伺服器下载的档案决定。

免费梯子

这些应用也很难删除,因为它们的图示经常隐藏在Android启动器萤幕上,这使得使用“拖放”功能的Android用户无法通过拖动将应用删除。这可能是为了让应用背后的人从显示的广告中获利。每当显示广告时,这些不法分子就能从广告商获得收益。因此,他们故意让用户难以删除应用,以便能显示更多广告并赚取更多钱。这些应用会检查以下启动器:Apex、HTC Sense、360 Launcher、QQ Launcher、华为、OPPO、LG、三星等。如果检查到下面截图中列出的任何启动器,应用程式将自动卸载其图示。

潜藏在 Google Play 商店美颜滤镜背后的广告软体

除了显示广告外,这些应用还能打电话、录音、更改网路状态、在其他应用上显示画面、读取装置的外部存储等等。

以下是Avast apklabio提供的摘要,列出这些应用的所有功能。

中国的作者

我们注意到一些细节,使我们相信应用的作者可能是中国人。例如,其中一位开发者的电子邮件地址是 songshijie19711110@gmailcom,这是中文名的罗马拼音,且在代码中,特别是在assets资料夹下的paramstxt文件中也含有简体中文词汇。

这些应用同样使用腾讯的Bugly工具,这是一种为开发者提供崩溃报告并允许他们向应用发送更新通知的工具。最后,这些应用检查的启动器中包含许多在中国可用的启动器。

在启动器上显示的Google Play商店截图

根据我们内部的apklabio的遥测数据及Google Play商店的评价,大部分受害者来自印度,其他受害者则分布在缅甸、印尼等地。

内部遥测结果显示 “comselfiebeautycandycamerapro” 应用最新版本的下载情况最多。

一些应用仍然使用HTTP来从远端伺服器更新广告配置,这很容易被识别。

广告和Bugly分析的网路追踪截图

来自远端伺服器的配置更新截图 d3pukqxlxhielmcloudfrontnet

来自d3pukqxlxhielmcloudfrontnet的configjson截图

关于此博客中讨论的广告软体和恶意应用的Google Play商店连结

https//playgooglecom/store/apps/detailsid=comselfiebeautycandycameraprohttps//playgooglecom/store/apps/detailsid=orgselfiebeautycameraprohttps//playgooglecom/store/apps/detailsid=comselfieprocamera

这些应用的类别以及使用的远端伺服器让我们怀疑,它们可能与Trend Micro在1月下旬报告的恶意应用有关。

你该怎么做?

安装像是Avast Mobile Security的防病毒软体,可检测这类应用,保护用户免受恼人的广告软体侵扰。

从可信的开发者处下载应用。虽然Google Play商店被认为是可信的应用商店,但你仍需要仔细检查应用开发者的声誉。

阅读应用描述和评论。如果出现许多错字,这应该提醒你该应用可能不正当。如果评论多数为负面且提到广告软体,则是另一个不下载该应用的信号。

如发现任何异常行为,立即卸载应用程序。

分析过的档案

包名 SHA256 comselfiebeautycandycamerapro 3e60b0f540a13c32b66cef6436052c7b1b35d003679fc86cba8edf4a5a3ebabd orgselfiebeautycamerapro a0250d16aba2b3f51311a270f0ec224c1d584e7400c243435486e21d17bedc5a comselfieprocamera 6d7f16c08025506564696b60291318c17e0e5d0f286b30ca3c38d16e7d946627

标记为分析、Android、假应用、行动

分享:XFacebook

欧盟最高法院的裁决意味著实时竞标广告的使用可能在法律上变得不可能。
欧盟最高法院的裁决意味著实时竞标广告的使用可能在法律上变得不可能。
2024-12-26
上一篇
盗版软件的隐藏成本:给小型企业的警示故事
盗版软件的隐藏成本:给小型企业的警示故事
2024-12-26
下一篇