Google Play 应用中存在恶意软件 SDK
Google Play 应用中存在恶意软件 SDK
第一个引起我们怀疑的应用程序是阿联酋和印度尼西亚的一款食品配送应用程序,名为中文名 :拜托拜托 “ComeCome”(APKcom.bintiger.mall.android),研究时该应用程序已在Google Play上架,下载量超过10,000次。
Application 子类中的 onCreate 方法(应用程序的入口点之一)在版本 2.0.0 中被重写(f99252b23f42b9b054b7233930532fcd)。此方法初始化名为“Spark”的 SDK 组件。它最初是经过混淆的,因此我们在分析之前对其进行了静态反混淆。
除了 KeywordsProcessor,该恶意软件还包含另外两个处理器:DictProcessor 和 WordNumProcessor。前者使用资产中 rapp.binary 内解密存储的本地化词典过滤图像,后者按长度过滤单词。每个进程的 letterMin 和 letterMax 参数定义允许的单词长度范围。对于 DictProcessor,wordlistMatchMin 设置图像中字典单词匹配的最小阈值。对于 WordNumProcessor,wordMin 和 wordMax 定义识别单词总数的可接受范围。注册受感染设备的请求响应中的 rs 字段控制将使用哪个处理器。
符合搜索条件的图像分三步从设备下载。首先,将包含图像 MD5 哈希的请求发送到 C2 上的 /api/e/img/uploadedCheck。接下来,将图像上传到亚马逊的云存储或“rust”服务器上的 file@/api/res/send。之后,将图像链接上传到 C2 上的 /api/e/img/rekognition。因此,从软件包名称 com.spark.stat 可以看出,专为分析而设计的 SDK 实际上是选择性窃取图库内容的恶意软件。
我们问自己,攻击者在寻找什么样的图像。为了找到答案,我们从 C2 服务器请求了一系列关键字,以便进行基于 OCR 的搜索。在每种情况下,我们都会收到中文、日语、韩语、英语、捷克语、法语、意大利语、波兰语和葡萄牙语的单词。这些词都表明攻击者是出于经济动机,专门针对恢复短语(也称为“助记符”),这些短语可用于重新获得对加密货币钱包的访问权限!
不幸的是,ComeCome 并不是我们发现的唯一一款嵌入恶意内容的应用程序。我们还发现了许多其他不相关的应用程序,涉及各种主题。截至撰写本文时,这些应用程序的安装次数总计超过 242,000 次,其中一些应用程序仍可在 Google Play 上访问。完整清单可在“入侵指标”部分找到。我们提醒 Google 其商店中存在受感染的应用程序。
此外,我们的遥测显示,恶意应用程序也通过非官方渠道传播。
不同应用的 SDK 功能可能略有不同。ComeCome 中的恶意软件仅在用户打开支持聊天时请求权限,而在其他一些情况下,启动核心功能会充当触发器
