https://static.jiayezz.com/58/00d44aab507f0788b6b5623da23ec3

色情买卖,没有什么地方能比中国手机市场更为壮观的了。近几周,色情主题的恶意软件已经席卷中国、日本和台湾地区的安卓手机用户。

这些恶意软件由做过搜索引擎优化的虚假网站散播,里面充斥着直指丑闻和风流韵事的关键词。这些网站伪装成色情视频网站,并引导用户下载各种恶意应用程序。几年前,我们就已经介绍过利用成人主题内容来引诱安装一键式计费欺诈的应用程序了。

我们发现通过这些网站传播的三类恶意程序,但它们都有一个共同点:它们都习惯于向用户的手机设备下载更多的恶意应用程序。这些都是通过弹窗提醒不断推送给用户的消息:

https://static.jiayezz.com/85/77065b2ba3893a17ff5f74cb163659

被命名为AndroidOS_Souying.HRX的恶意程序包含了一系列针对不同内核设备的能够获取root权限的漏洞利用代码(包括CVE-2012-6422,CVE-2013-2595,CVE-2014-2273)。一旦具有了root权限,恶意应用程序就可以做到静默安装。

https://static.jiayezz.com/3c/d89e864f72f43567f2c8e58a991aba

不多久,用户的设备上就会装满了各种各样的恶意程序:

https://static.jiayezz.com/02/63d1230d894e6ba322fbdfec0dd83f

一些以这种方式传播的恶意应用伪装成色情影片,但实际上是用来欺诈的。


虚假色情视频

我们发现了四类伪装成色情视频播放器的恶意应用程序。如果用户点击了其中任意一个视频,用户的手机设备就会发送收费短信来导致用户金钱损失。除了这一点,一个可见的支付方式也是存在的。假如用户付款了,应用程序就会变本加厉的要钱。当然,除了视频,色情文学也是通过这种方式传播,例如下列应用程序:

AndroidOS_DownAdmin.HRX

AndroidOS_Porner.OPS

AndroidOS_Souying.HRX

AndroidOS_Curious.HRX

https://static.jiayezz.com/8a/c7b7d43d9914c6b7ca3a99071d1ef1


虚假社交约会

除了上述应用程序,虚假的社交软件同样存在。这些应用程序通过机器人自动向用户发送“友好的”欢迎信息。

https://static.jiayezz.com/a7/26aeb3cf7b609bcb81642da5a5016e

如果受害人认为这些信息内容是真实的并且想要回个消息,这些应用程序就会向用户每月收取大约16美元的费用。

我们将这种恶意程序命名为AndroidOS_LoveFraud.HRX。在这个特别的策划的背后暗藏着一个大型的社交约会网站。这个网站的注册过程相当简单,甚至不需要用户输入用户名、密码和地址。这使得这个公司已经拥有1.9亿注册用户。我们认为这样庞大的数字是由这些应用程序贡献来的。


欺诈性广告

一个被命名为AndroidOS_Liangou.HBT的流氓游戏程序会下载一个虚假的下载器。这个下载器会将自己注册为设备管理器从而防止用户轻易地将其卸载(之前提到的AndroidOS_DownAdmin.HRX也是这么干的)。如果用户尝试将其卸载,这个恶意软件就会将手机锁屏。

https://static.jiayezz.com/8b/eeb51874c7256e232f158bc2d8fd91

https://static.jiayezz.com/4e/e5617bcd8aa3e08087c82098ab3ff1

除此之外,这个恶意程序还会推送欺诈性的广告。

https://static.jiayezz.com/70/1d29b17f47ee23aaa7ecca17be3a22

我们发现了很多诸如此类恶意程序:

AndroidOS_Durian.HBT

AndroidOS_HHPlug.HBT

AndroidOS_McsApp.HNT

AndroidOS_SMSSnow.HRX

AndroidOS_Youai.HBT

AndroidOS_UUAd.HRX

那么,到底是谁做了这些色情网站和应用程序呢?

在这种攻击背后的网络犯罪分子将恶意服务绑定在一些垃圾域名上,并时不时地切换着域名和服务器。然而,在已经下载的恶意程序中也可以发现一些线索。

一个被命名为AndroidOS_Souying.HRX的应用程序会链接到特定的网站去下载更多的恶意程序。该网站的域名属于一个在中国杭州的应用程序推广公司。这家公司负责通过淫秽色情网站和应用程序将更多的应用程序推广给广大用户。

开发商会聘用这家公司来为自己的应用做推广。他们似乎并不会特意去选择,并且他们自己的应用也会包含像虚假色情视频章节提到的欺骗环节。此外,数以千计的恶意程序依然驻留在他们的网站上,并且同样能够链接到上述应用推广公司的网站。

中国大陆用户并不是受到影响的唯一群体。从我们的用户反馈显示,恶意应用的威胁也波及到中国台湾和日本的用户。在这些国家的中文用户也有很大可能受到了影响。下面的热图显示这些恶意app过去的30天在世界范围内的分布情况:

https://static.jiayezz.com/18/11d8ba9b464d3b6ef0ebb29334da12

趋势科技移动安全的用户会在应用安装前进行扫描。如果可能的话,我们建议用户避免从官方网站(如谷歌Play商店)之外的地方下载应用程序。潜在的受害者可能也需要在自己的设备上恢复出厂设置来清除任何可能存在的威胁。

下面列出相关文件的HASH值表:

AndroidOS_Porner.OPS

c2236c5c02da7efb502a372e46e7fc0d33673bfc

AndroidOS_Curious.HRX

4c0c74e4a240362e9ee603efab18e4f2266d4249

AndroidOS_Souying.HRX

573f44865809e3a1435a5438aa8d482b12186768

AndroidOS_LoveFraud.HRX

24b32b2a09eb3130584d8d0d35aa05e3952f2e8b

AndroidOS_Youai.HRX

c77a21af5cfe7cd59797ee1eef4d712094264085

AndroidOS_DownAdmin.HRX

5e141f138f110db12c1d749ab2c984e5c86a46b5

AndroidOS_Liangou.HRX

0a2004080409d53f628794241a59e67880d6b2a7

AndroidOS_SMSSnow.HBT

085466c14e4dcf1690106352f0046bd2f6c1962f

AndroidOS_Durian.HRX

fb0ff3f46ac73cf7c93e7cc2da00d6eeae3c36f2

AndroidOS_McsApp.HNT

563fe5c8b2cfc3b448d7c65d8fd5e24e45f9927b

AndroidOS_HHPlug.HRX

5adca9a5e44a216e123cd191ff42d25c4d87eee6

AndroidOS_UUAd.HRX

95a506cdbe887a86c1f35607ac69ae477d3417b0

文章原文链接:https://www.anquanke.com/post/id/82800