檢測並消滅“巖羚羊”這種 Android 平臺上的殭屍網路欺詐

文 | Google 安全軟體工程師 Bernhard Grill、Megan Ruthven 和 Xin Zhao

Google 為保護使用者在各類裝置和環境中的安全而辛勤工作。這項工作有一部分涉及保護使用者不受 潛在有害應用 (PHA) 的侵害，這讓我們有機會觀察各種針對我們生態系統的威脅。

例如，我們的安全團隊近期發現了一個新的 PHA 系列（我們將其命名為“巖羚羊”），並採取了防禦措施，讓我們的廣告和 Android 系統使用者不受其侵害。

“巖羚羊”是一個 Android PHA 系列，它能夠：

• 通過內含欺詐性圖形的廣告彈窗產生非法流量

• 通過自動在後檯安裝應用進行虛假應用推廣

• 通過傳送收費簡訊進行電話詐騙

• 下載並執行其他外掛

干擾廣告生態系統

“巖羚羊”是我們在例行的廣告流量質量評估期間檢測到的。通過分析基於“巖羚羊”的惡意應用，我們發現它們採用幾種方法避開檢測，並會試圖通過顯示欺詐性圖形來欺騙使用者點選廣告。這種點選有時會導致下載其他實施簡訊詐騙的應用。因此，我們利用驗證應用對“巖羚羊”應用系列進行了遮蔽，還剔除了那些試圖戲耍我們廣告系統的壞蛋。

由於之前有過應對此類廣告欺詐應用的經驗，我們的團隊得以迅速採取措施，讓我們的廣告商和 Android 使用者均得到保護。由於該惡意應用並未出現在裝置的應用列表中，因此大多數使用者都沒見過這款不受歡迎的應用，也不知道應該將其解除安裝。正因如此，Google 的驗證應用才顯得極具價值，因為它能幫助使用者發現並刪除 PHA。

“巖羚羊”的真面目

“巖羚羊”是迄今為止在 Android 平臺上發現的最龐大 PHA 系列之一，通過多種渠道擴散。據我們所知，Google 是率先公開識別並追蹤“巖羚羊”的公司。

“巖羚羊”具有諸多不同尋常的特點，其中包括：

多級負載：

如下圖所示，其程式碼執行分為 4 個不同級別，並且採用不同的檔案格式。

這種多級執行過程增加了複雜性，使得無法立即將該系列的應用識別為 PHA，因為必須先剝掉外層，才能發現惡意部分。不過，Google 的管道不會被欺騙，因為它們的設計宗旨就是妥善應對這些情境。

自我保護：

“巖羚羊”試圖利用模糊化和防分析技術逃避檢測，但我們的系統可以相應採取反制措施，對這些應用進行檢測。

自定義加密儲存：

該系列採用一種自定義加密檔案儲存來儲存其配置檔案和附加程式碼，需要對這些檔案和程式碼進行更深入的分析，才能識別該 PHA。

大小：

我們的安全團隊對 10 萬多行看似由專業開發者編寫的複雜程式碼進行了篩查。由於 APK 的體積龐大，因此花費了一些時間才完成了“巖羚羊”的詳細識別。

Google 的 PHA 對抗之道

“驗證應用”可通過在使用者下載經確定屬於 PHA 的應用時發出警告來防止使用者受到已知 PHA 的侵害，並且它還能讓使用者在應用已安裝時將其解除安裝。此外，“驗證應用”還能通過監控 Android 生態系統的狀態來發現異常情況並進行調查。它還有助於通過裝置上的行為分析發現未知 PHA。

例如，“巖羚羊”下載的許多應用都是 DOI 評分工具中排名前列的惡意應用。我們在“驗證應用”中實現的規則可保護使用者免受 Herole 侵害。

Google 會繼續大力投資開發面向 Android 及其廣告系統的反濫用技術，我們對許多團隊在對抗“巖羚羊”之類 PHA 時所做的幕後工作感到自豪。

我們希望這篇摘要能令您洞見日益複雜的 Android 殭屍網路。

推薦閱讀：

Android O開發者預覽版終於推出啦！官方介紹新特性

向越來越多的HTTPS致敬！

Android 安全獎一年回顧

使用HTTPS確保安全性（Google開發者大會演講PPT&視訊）