原文:Aggressive in-app advertising in Android
譯者:知道創宇404實驗室翻譯組
近期,Google Play上流行應用程序中的可疑廣告模塊越來越多,其觀看次數也在不斷增加,與白名單廣告模塊相比,它們為開發人員帶來了更多收入,但此類SDK的獲利方法可能會對用戶形成網絡威脅。本文將對之前所提到的流行應用程序中的可疑廣告模塊進行研究。
第一個研究的應用程序,它允許用戶匿名提問。com.haskfm.h5mob模塊將數據集成到該程序前期的代碼中,其任務是在用戶解鎖手機時顯示侵入性廣告(違反Google Play規則)。
換句話說,無論該應用程序是否正在運行,該模塊都可以顯示廣告,廣告會在屏幕上自動彈出。我們將調查結果發送給了應用程序開發人員,他們立即刪除了com.haskfm.h5mob。但是,從技術角度來看,該模塊仍然很有趣。
在這個用于接收廣告優惠的應用程序中,模塊連接到C&C服務器,其地址已經在應用程序代碼中進行了加密。
C&C服務器響應內容包含主要的參數和廣告商。
{"status":1,
"msg":"Success",
"data":{"rqect":0,
"ldfr":1,
"tifr":1,
"appintset":43200000,
"swpa":1,
"ssjp":1,
"tcap":86400000,
"ctoftime":3600000,
"jtslist":[{"domain":"app.appsflyer.com","format":"&android_id={android_id}&advertising_id={gaid}"},
{"domain":"app.adjust.com","format":"&android_id={android_id}&gps_adid={gaid}"},
{"domain":"app.adjust.io","format":"&android_id={android_id}&gps_adid={gaid}"},此處最有趣的參數是appintset,它會在程序安裝后顯示的第一個廣告上進行延遲。在我們的樣本中,我們將其設置為4320萬毫秒(即12小時),這種延遲會導致用戶在第一時間很難察覺到已經顯示的所有廣告。此外,操作者們還會使用此技術來繞過程序本身具有自動保護機制(如應用程序商店中的沙箱)。主要參數中還有廣告商的相關信息,其中還包含用于接收報價的請求參數。
之前我們在沒有有效負載的應用程序中檢測到過類似的廣告模塊。如,com.android.ggtoolkit_tw_xd應用中的代碼并沒有檢測到病毒AdWare.AndroidOS.Magic.a,其包含與com.haskfm.h5mob相同的功能,并且會通過相同的C&C模塊進行管理。但此廣告軟件的應用程序沒有圖形界面可言,而且在設備的應用程序菜單中進行顯示,只會顯示插入式廣告。
此外,雖然第一個示例中的應用程序創建者刪除了廣告模塊,但并非所有的Android開發者都這樣。如,不論程序是否運行,“CutOut & Photo Background” 都會在手機解鎖后立即處理半屏廣告。
同樣,清潔軟件“SpeedBooster & Cleaner”也會進行類似操作。
在這兩個應用程序中,com.vision.lib也會處理廣告的顯示。
在本文撰寫期間,這兩個程序的開發人員均未響應我們的要求。
但值得注意的是,廣告軟件并不總是與金錢誘惑有關。一般的開發人員并不精通廣告SDK,并且缺乏測試集成廣告庫的必要技能,因此可能無法完全了解代碼庫的構成。在這樣的情況下,用戶會面臨可疑庫升級到應用程序中來作為行列文件更新的一部分,而程序員們對于侵入性廣告來源的查找會變得更加困難。
IOCs
MD5
1eeda6306a2b12f78902a1bc0b7a7961 – com.android.ggtoolkit_tw_xd
134283b8efedc3d7244ba1b3a52e4a92 – com.xprodev.cutcam
3aba867b8b91c17531e58a9054657e10 – com.powerd.cleaner
С&C
ti.domainforlite[.]com/st/hg
uu.domainforlite[.]com
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1225/
暫無評論