记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

好看有什么用,壁纸App涉嫌广告点击欺诈

2018-12-22 01:45

趋势科技研究人员在Google Play商店中检测到15个壁纸应用存在广告欺诈行为。在撰写本文时,这些应用程序在Google Play商店中总下载次数高达222,200多次,研究人员的遥测显示感染率最高的是意大利、台湾、美国、德国和印度尼西亚。Google已确认删除所有被发现的应用。

这些应用程序设计有诱人的图标,承诺给用户提供美丽的手机壁纸。这些应用程序下载量很高且好评如潮,但研究人员高度怀疑这些评论是假的,创建这些假评论的目的就是为了提高可信度。

Wild Cats HD Wallpaper App下载量已超10,000次,评分高达4.8分

下载后,应用程序会解码配置的命令和控制(C&C)服务地址。

解码并运行C&C服务地址

为了不被用户发现,整个过程都是静音的。一旦启动应用程序,就会给C&C发送HTTP GET请求,以获取JSON格式的列表。

整个过程被静音

C&C服务器响应

当Feed运行时,每个初始化的feed和object都包含fallback_URL、type、UA、URL、referer、x_requested_with和keywords。

初始化的Feed列表

然后,这些应用程序会从Google Play服务上获取广告ID,并用广告ID替换ANDROID_ID URL中的一些参数,将BUNDLE_ID替换为欺诈应用包的名称,将IP替换为受感染设备的当前IP等等。替换后,将根据类型加载URL。

构造欺诈性fallback_URL

加载URL时,浏览器背景将被设置为透明的。

背景设置为透明

加载URL后,这些应用程序会开始在广告页面上进行模拟点击。

模拟广告点击

网络犯罪分子通过替换参数价值获利。Google为Android开发人员提供的ID(例如广告ID、广告主ID和设备ID)是用户特定的匿名标识符,用于将其应用程序货币化。该应用程序将ANDROID_ID、BUNDLE_ID、IP、USER_AGENT替换为广告ID、应用程序包名称、当前IP和当前浏览器的用户代理。这些都在配置文件中的FALLBACK_URL中,为假点击创建了一个欺骗性的FALLBACK_URL。例如,原URL应该是:

http[:]//pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid={ANDROID_ID}&bundle={BUNDLE_ID}&ip={IP}&ua={USER_AGENT}&cb=5c1236f316e45

这会被替换为:

http[:]//pub.mobday.com/api/ads_api.php?ver=1.2&pubid=1022&adspace=1007&advid=260903559217b3a8&bundle=com.amz.wildcats&ip= 203.90.248.163&ua=Mozilla/5.0 (Linux; Android 6.0.1; MuMu Build/V417IR; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/52.0.2743.100 Mobile Safari/537.36&cb=5c1236f316e45

研究人员建议用户对他们下载的应用程序保持警惕,因为网络犯罪分子会继续操纵应用程序来窃取信息、获利以及发起攻击。

知识来源: www.mottoin.com/tech/133660.html

阅读:109531 | 评论:0 | 标签:技术控

想收藏或者和大家分享这篇好文章→复制链接地址

“好看有什么用,壁纸App涉嫌广告点击欺诈”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词