发布时间:2020-04-10 15:34:18,来源:恒安嘉新
一、基本情况
广告软件通常通过弹出式窗口、横幅广告、内文链接等广告方式来呈献广告内容,主要是为了提高相关网站、产品知名度。这能为软件开发商带来一定的广告收入。而广告木马软件则通常通过单击链接和其他交互式元素来模拟网页上的用户操作,实现无声地模拟与广告网站的交互如点击广告提高网站访问率或自动订阅付费服务,从而增加广告带来的收入。
继2020年2月,Clicker木马新家族-Haken木马通过在Google Play分发8种不同的恶意应用来感染用户设备。最近,在Google Play上发现了一个新木马家族—Tekya木马。该木马是一款模拟用户点击来自Google AdMob,Facebook等机构的广告进行移动广告欺诈的木马软件。它通过混淆原生代码来躲避Google的检测机制使其能成功的通过Google Play平台分发。并利用Android中的“MotionEvent”机制模仿用户的点击行为。
在对Tekya木马家族进行真机模拟抓包测试中,通过实际运行可以看到此类软件在后台运行多种广告并进行对应的服务器访问。
图2-8 多次访问广告
此次在Google Play上共获取到29个该木马家族应用,累计下载量超过100万次,其中大部分软件是针对儿童的游戏软件,模拟点击的广告也多为游戏类广告。
部分样本信息:
应用名称 | 文件MD5 | 包名 |
Yeah Translator | 0061578f313713f6fbaea7e6491d3450 | com.yeyey.translate |
Race in Space | 04f153aef026c05fc0b111e2aa43992f | caracal.raceinspace.astronaut |
PDF Reader | 09c766e5c112bc51e0e1e1299146c781 | mcmc.ebook.reader |
AR - Measure Plan | 103e399e10e5dc3e49c5277dfb7b9b5f | com.arsketch.quickplan |
Delicious Recipes | 22428383acdd560aeadeb9cc80b55e7c | mcmc.delicious.recipes |
Best Translate | 2899a311737312112f9156c3d3395e2a | best.translate.tool |
iTranslator | 2acfdc4098031bfd35ed2f2736ed6129 | pro.infi.translator |
24h Translate | a897bb59a0721b907cfa89f521ee0830 | allday.a24h.translate |
Smart Assistant | 739381cca8586fbfaff598af8e868b6c | com.smart.tools.pro |
Anime Fashion | ba1db1f26166262b4a6a00615489a0a1 | com.ichinyan.fashion |
1.如果用户已经感染此类木马病毒,建议用户及时卸载此类应用。
2.及时更新系统并下载安全软件,养成良好习惯。