当前位置:首页 > 其他威胁 > 正文

儿童游戏软件中隐藏着Tekya木马风险预警

发布时间:2020-04-10 15:34:18,来源:恒安嘉新

      一、基本情况

      广告软件通常通过弹出式窗口、横幅广告、内文链接等广告方式来呈献广告内容,主要是为了提高相关网站、产品知名度。这能为软件开发商带来一定的广告收入。而广告木马软件则通常通过单击链接和其他交互式元素来模拟网页上的用户操作,实现无声地模拟与广告网站的交互如点击广告提高网站访问率或自动订阅付费服务,从而增加广告带来的收入。

      继2020年2月,Clicker木马新家族-Haken木马通过在Google Play分发8种不同的恶意应用来感染用户设备。最近,在Google Play上发现了一个新木马家族—Tekya木马。该木马是一款模拟用户点击来自Google AdMob,Facebook等机构的广告进行移动广告欺诈的木马软件。它通过混淆原生代码来躲避Google的检测机制使其能成功的通过Google Play平台分发。并利用Android中的“MotionEvent”机制模仿用户的点击行为。

      二、服务器后台

      在对Tekya木马家族进行真机模拟抓包测试中,通过实际运行可以看到此类软件在后台运行多种广告并进行对应的服务器访问。

 1586504164662976.png

 1586504174314016.png

 1586504184317957.png

 1586504206885443.png        1586504209364312.png

 图2-8 多次访问广告

      三、情报扩展

      此次在Google Play上共获取到29个该木马家族应用,累计下载量超过100万次,其中大部分软件是针对儿童的游戏软件,模拟点击的广告也多为游戏类广告。

      部分样本信息:

应用名称

文件MD5

包名

Yeah Translator

0061578f313713f6fbaea7e6491d3450

com.yeyey.translate

Race in Space

04f153aef026c05fc0b111e2aa43992f

caracal.raceinspace.astronaut

PDF Reader

09c766e5c112bc51e0e1e1299146c781

mcmc.ebook.reader

AR - Measure Plan

103e399e10e5dc3e49c5277dfb7b9b5f

com.arsketch.quickplan

Delicious Recipes

22428383acdd560aeadeb9cc80b55e7c

mcmc.delicious.recipes

Best Translate

2899a311737312112f9156c3d3395e2a

best.translate.tool

iTranslator

2acfdc4098031bfd35ed2f2736ed6129

pro.infi.translator

24h Translate

a897bb59a0721b907cfa89f521ee0830

allday.a24h.translate

Smart Assistant

739381cca8586fbfaff598af8e868b6c

com.smart.tools.pro

Anime Fashion

ba1db1f26166262b4a6a00615489a0a1

com.ichinyan.fashion

      四、安全建议

      1.如果用户已经感染此类木马病毒,建议用户及时卸载此类应用。

      2.及时更新系统并下载安全软件,养成良好习惯。