检测并消灭“岩羚羊”这种 Android 平台上的僵尸网络欺诈
文 | Google 安全软件工程师 Bernhard Grill、Megan Ruthven 和 Xin Zhao
Google 为保护用户在各类设备和环境中的安全而辛勤工作。这项工作有一部分涉及保护用户不受 潜在有害应用 (PHA) 的侵害,这让我们有机会观察各种针对我们生态系统的威胁。
例如,我们的安全团队近期发现了一个新的 PHA 系列(我们将其命名为“岩羚羊”),并采取了防御措施,让我们的广告和 Android 系统用户不受其侵害。
“岩羚羊”是一个 Android PHA 系列,它能够:
通过内含欺诈性图形的广告弹窗产生非法流量
通过自动在后台安装应用进行虚假应用推广
通过发送收费短信进行电话诈骗
下载并执行其他插件
干扰广告生态系统
“岩羚羊”是我们在例行的广告流量质量评估期间检测到的。通过分析基于“岩羚羊”的恶意应用,我们发现它们采用几种方法避开检测,并会试图通过显示欺诈性图形来欺骗用户点击广告。这种点击有时会导致下载其他实施短信诈骗的应用。因此,我们利用验证应用对“岩羚羊”应用系列进行了屏蔽,还剔除了那些试图戏耍我们广告系统的坏蛋。
由于之前有过应对此类广告欺诈应用的经验,我们的团队得以迅速采取措施,让我们的广告商和 Android 用户均得到保护。由于该恶意应用并未出现在设备的应用列表中,因此大多数用户都没见过这款不受欢迎的应用,也不知道应该将其卸载。正因如此,Google 的验证应用才显得极具价值,因为它能帮助用户发现并删除 PHA。
“岩羚羊”的真面目
“岩羚羊”是迄今为止在 Android 平台上发现的最庞大 PHA 系列之一,通过多种渠道扩散。据我们所知,Google 是率先公开识别并追踪“岩羚羊”的公司。
“岩羚羊”具有诸多不同寻常的特点,其中包括:
多级负载:
如下图所示,其代码执行分为 4 个不同级别,并且采用不同的文件格式。
这种多级执行过程增加了复杂性,使得无法立即将该系列的应用识别为 PHA,因为必须先剥掉外层,才能发现恶意部分。不过,Google 的管道不会被欺骗,因为它们的设计宗旨就是妥善应对这些情境。
自我保护:
“岩羚羊”试图利用模糊化和防分析技术逃避检测,但我们的系统可以相应采取反制措施,对这些应用进行检测。
自定义加密存储:
该系列采用一种自定义加密文件存储来存储其配置文件和附加代码,需要对这些文件和代码进行更深入的分析,才能识别该 PHA。
大小:
我们的安全团队对 10 万多行看似由专业开发者编写的复杂代码进行了筛查。由于 APK 的体积庞大,因此花费了一些时间才完成了“岩羚羊”的详细识别。
Google 的 PHA 对抗之道
“验证应用”可通过在用户下载经确定属于 PHA 的应用时发出警告来防止用户受到已知 PHA 的侵害,并且它还能让用户在应用已安装时将其卸载。此外,“验证应用”还能通过监控 Android 生态系统的状态来发现异常情况并进行调查。它还有助于通过设备上的行为分析发现未知 PHA。
例如,“岩羚羊”下载的许多应用都是 DOI 评分工具中排名前列的恶意应用。我们在“验证应用”中实现的规则可保护用户免受 Herole 侵害。
Google 会继续大力投资开发面向 Android 及其广告系统的反滥用技术,我们对许多团队在对抗“岩羚羊”之类 PHA 时所做的幕后工作感到自豪。
我们希望这篇摘要能令您洞见日益复杂的 Android 僵尸网络。
推荐阅读:
使用HTTPS确保安全性(Google开发者大会演讲PPT&视频)