Geliştirici Mobile apps Group’tan bir kötü amaçlı uygulama ailesi, Google Play’de HiddenAds bulaşmış durumda.
Bu uygulamaların eski sürümleri, geçmişte Android/Trojan.HiddenAds’ın farklı varyantları olarak algılanmıştır. Ancak geliştirici, en son HiddenAds kötü amaçlı yazılımını dağıtmak için hâlâ Google Play’de.
Bu, Google Play’de yalnızca birkaç ay önce hileli bir PDF okuyucusundan bulunan reklam yazılımının hemen ardından gelir.
Gecikmeli memnuniyetsizlik
Bu kötü amaçlı yazılımla ilgili analizimiz, Bluetooth Otomatik Bağlantı adlı bir uygulama bulmamızla başlar (uygulamayla ilgili tüm bilgiler bu makalenin altındadır). Kullanıcılar bu kötü amaçlı uygulamayı ilk kez yüklediklerinde, kötü niyetli davranışlar göstermeye başlaması birkaç gün alır. Kötü amaçlı davranışı geciktirmek, kötü amaçlı yazılım geliştiricileri tarafından tespit edilmekten kaçınmak için yaygın olarak kullanılan bir taktiktir. Analizimizde keşfedeceğiniz gibi, bu uygulamanın biraz gecikme kullandığı ortaya çıktı.
İlk gecikmenin ardından, kötü amaçlı uygulama Chrome’da kimlik avı sitelerini açar. Kimlik avı sitelerinin içeriği değişiklik gösterir; bazıları yalnızca tıklama başına ödeme yapmak için kullanılan zararsız sitelerdir ve diğerleri, şüphelenmeyen kullanıcıları kandırmaya çalışan daha tehlikeli kimlik avı siteleridir. Örneğin, bir site, kullanıcıya virüs bulaştığını veya bir güncelleme gerçekleştirmesi gerektiğini söyleyen kimlik avı sayfalarına yönlendiren yetişkinlere uygun içeriğe sahiptir.
Mobil cihaz kilitliyken bile Chrome sekmeleri arka planda açılır. Kullanıcı cihazının kilidini açtığında, Chrome en son siteyle açılır. Yeni bir siteyle sık sık yeni bir sekme açılır ve sonuç olarak, birkaç saat sonra telefonunuzun kilidini açmak, birden çok sekmeyi kapatmak anlamına gelir. Kullanıcıların tarayıcı geçmişi de kötü amaçlı kimlik avı sitelerinin uzun bir listesi olacaktır.
LogCat kullanarak daha derin analiz
Son blog gönderime göre, bir kez daha Android işletim sistemli bir test telefonu kullandım ve onu çalışan dizüstü bilgisayarıma taktım. LogCat eski güzel aracılığıyla Android Cihaz Monitörü. Netleştirmek için, LogCat kullanıldı bu kötü amaçlı yazılımın günlükleri dahil olmak üzere, yüklü uygulamalar ve Android işletim sistemi tarafından oluşturulan tüm günlükleri gözlemlemek için. Bu kötü amaçlı yazılımdan gelen ilk günlük girişi, ilk kurulumdan birkaç saat sonra geldi.
10-20 05:11:07.504: D/sdfsdf(11987): {"adDelay":7200000,"flurryId":"YQBTHDXPVMFT3D7Z7Q92","chromeLink":"https://.com/?ts=1666264263370&id=344","showOuterAd":true,"firstAdDelay":259200000,"versionWithNoAd":"no"}
Günlük girişinin ilk önemli veri noktası, LogCat çağırır Etiket. Bu genellikle günlük metninin bir tanımlayıcısıdır. ActivityManager. Bu durumda, gizlenmiş bir etiket kullanırlar. sdfsdf – kasıtlı aldatmanın başka bir işareti. içine dalış Metin Önemli verilerin depolandığı günlük bölümünde, birkaç önemli veri noktası vardır: reklam gecikmesi, chromeLink, ve ilk Reklam Gecikmesi.
İlk önce chromeLink Chrome’da açılacak kimlik avı sitesinin URL’sidir. Sonra, şuna bakalım: ilk Reklam Gecikmesi ile veri noktası değeri 259200000. Bu değer, ilk reklamın görüntülenmesindeki gecikmenin uzunluğudur (yetmiş iki saat). Günlük girişi oluşturulmadan önceki bu birkaç saati bu gecikmeye ekleyin ve kötü amaçlı uygulamanın yüklenmesinden Chrome’da ilk reklamı görüntülemesine kadar yaklaşık dört gününüz olur.
Her kötü amaçlı yazılım uygulamasının gecikme süresinin değiştiğini unutmayın. Ek olarak, ilk reklam görüntülendikten sonra bir reklam gecikmesi nın-nin 7200000veya iki saat. Bunun, ilk reklam gecikmesinden sonra iki saat daha beklemek mi yoksa ilk reklamdan iki saat sonra başka bir reklam görüntülemek mi olduğu açık değil. Ne olursa olsun, algılamayı gizlemek için gecikmeleri kullanmanın başka bir örneğidir. Bu tür günlük girişleri, her on beş dakikada bir kaydedilir ve sürekli olarak yeni yayınlanan reklamları ayarlar.
Gecikme süresi sona erdikten sonra, reklam görüntülenmek üzere tetiklenir. Bu anda, kullanarak ek günlük girişleri oluşturur. etiket Etkinlik Yöneticisi.
10-24 08:26:30.476: I/ActivityManager(765): START u0 {act=android.intent.action.VIEW dat=https:// .com/... flg=0x14002000 pkg=com.android.chrome cmp=com.android.chrome/org.chromium.chrome.browser.ChromeTabbedActivity (has extras)} from uid 10062
10-24 08:26:31.026: W/ActivityManager(765): Activity pause timeout for ActivityRecord{736d893 u0 com.android.chrome/org.chromium.chrome.browser.ChromeTabbedActivity t11780}
Bu günlük girişleri, Chrome’un etkinlik kullanan bir kimlik avı sitesiyle yeni bir sekme açtığı zamanı temsil eder. ChromeTabbedActivity. Bu noktadan sonra, mobil cihazın kilidini açmak reklamı gösterecektir.
Koda kadar izleme
Şimdi sahip olduğumuz LogCat girişleri, analizimizin bir sonraki adımı, bu kötü niyetli davranışın kodun neresinde gerçekleştiğini bulmaktır. Bunu yapmak için önce uygulamanın Belirgin dosya.
bu Belirgin file temelde Android işletim sisteminin bir uygulamanın etkinliklerini, hizmetlerini ve alıcılarını çalıştırmak için kullanması için bir kılavuzdur. Her etkinlik, hizmet ve alıcı çalıştırılacak kodu içerir. Her Android uygulamasının bir Belirgin dosya.
Çoğu zaman, belirli bir kötü amaçlı yazılım tarafından kullanılan etkinlikler, hizmetler ve alıcılar benzersizdir. Ancak, bu kötü amaçlı yazılıma ilk bakışta hangi etkinliklerin, hizmetlerin veya alıcıların kötü amaçlı kodu çalıştırdığını söylemek zordur. Burası LogCat girişler yardımcı olabilir. Bu günlükler, tütsüleme tabancası Tam olarak hangi etkinliklerin, hizmetlerin veya alıcıların kötü niyetli davranışı tetiklediği. İronik bir şekilde, bir araç kullanarak algılamayı gizleme girişimleri LogCat etiket nın-nin sdfsdf suçlunun takibini kolaylaştırdı. hızlı arama sdfsdf kodda, hizmet adına kadar izini sürdüğünü ortaya koyuyor com.github.libpackage.service.PushServiceve etkinlik adı com.github.libpackage.view.NotificationActivity. Adlandırma kuralında popüler GitHub’ın kullanılması, algılamayı gizlemeye yönelik bir başka bariz girişimdir. Oradan, ek veri noktalarını kullanarak daha fazla doğrulama yapabildik. LogCat Metin.
Gizli Reklamların Tarihi
Bluetooth Otomatik Bağlantıya odaklanmaya devam eden bu uygulama, HiddenAds’ın farklı türevlerine bulaşma konusunda uzun bir geçmişe sahiptir. Diğer uygulamaların Mobil uygulamalar Grubu benzer bir geçmişi var.
hayal kırıklığı yaratıyor Mobil uygulamalar Grubu geçmişte kötü amaçlı uygulamalara sahip olmasına rağmen Google Play mağazasında varlığını iki kez sürdürdü! 19 Ocak 2022’den önceki kötü amaçlı sürümlerin (sürüm 2.2 ve öncesi) Google Play tarafından yakalanıp yakalanmadığı belli değil. Sürüm 2.3 temiz olduğu için geliştiricilerin yakalanıp temiz bir sürüm yüklemiş olmaları muhtemel görünüyor.
Bildiğimiz şey, DrWeb’in 24 Şubat 2021’de Bluetooth Auto Connect v2.5’in Adware.NewDich adını verdiği şeye sahip olduğu hakkında blog yazdığı. Google Play’in o noktada yalnızca o sırada en güncel kötü amaçlı sürümü kaldırarak harekete geçtiğini varsayabiliriz. yazının—sürüm 2.9. Ancak, 26 Şubat’ta, DrWeb blogundan sadece iki gün sonra, geliştiriciler temiz sürüm 3.0’ı Google Play’de yayınladı. Bunun anlamı Mobil uygulamalar Grubu bir deneme süresi bile olmadan Google Play’de kaldı.
Google Play’den alınan iki ihtarın bir sonucu olarak geliştiriciler, sürüm 3.0’dan 4.5’e veya 26 Şubat’tan 10 Ekim 2021’e kadar eylemlerini temizlediler. Ardından, 15 Aralık 2021’de geliştiriciler, en güncel HiddenAds’ın kodunu yayınladı. 4.6 sürümündeki varyant. Şimdi 5.7 sürümünde, bu kötü niyetli kod bu tarihe kadar kaldı. Google Play’de kötü amaçlı kod içeren on aydan uzun bir çalışma. Belki de üç vuruş söylemenin zamanı geldi ve siz Mobil uygulamalar Grubu.
Reklam yazılımından daha fazlası
Kötü niyetli davranışların tüm kanıtlarına rağmen, bunun yalnızca Google Play Protect tespitini aşan reklam yazılımlarından daha fazlası olduğu varsayılabilir. Yüksek dozda gizleme ve zararlı kimlik avı siteleriyle, bu açıkça Trojan HiddenAds olarak bildiğimiz kötü amaçlı yazılımdır. Malwarebytes destek ekibimiz ve müşterilerimiz sayesinde bu kötü amaçlı kötü amaçlı yazılımın izini sürmeyi başardık. Her zaman olduğu gibi, ücretsiz tarayıcımız Malwarebytes Mobile Security’yi kullanarak sorunu giderebilirsiniz.
Uygulama bilgisi
Paket adı: com.bluetooth.autoconnect.anybtdevices
Uygulama adı: Bluetooth Otomatik Bağlantı
Geliştirici: Mobil uygulamalar Grubu
MD5: C28A12CE5366960B34595DCE8BFB4D15
Google Play URL’si: https://play.google.com/store/apps/details?id=com.bluetooth.autoconnect.anybtdevices
Paket adı: com.driver.finder.bluetooth.wifi.usb
Uygulama Adı: Sürücü: Bluetooth, Wi-Fi, USB
Geliştirici: Mobil uygulamalar Grubu
MD5: 9BC55834B713B506E92B3787BE83F079
Google Play URL’si: https://play.google.com/store/apps/details?id=com.driver.finder.bluetooth.wifi.usb
Paket adı: com.bluetooth.share.app
Uygulama Adı: Bluetooth Uygulama Göndericisi
Geliştirici: Mobil uygulamalar Grubu
MD5: F764F5A04859EC544685E30DE4BD3240
Google Play URL’si: https://play.google.com/store/apps/details?id=com.bluetooth.share.app
Paket adı: com.mobile.faster.transfer.smart.switch
Uygulama Adı: Mobil aktarım: akıllı anahtar
Geliştirici: Mobil uygulamalar Grubu
MD5: AEA33292113A22F46579F5E953596491
Google Play URL’si: https://play.google.com/store/apps/details?id=com.mobile.faster.transfer.smart.switch
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.