,,

全球微速訊：Satori通報(bào)85款影響Android和iOS平臺(tái)的廣告軟件安裝量達(dá)1300萬

2022-09-27 15:46:56 來源：cnBeta.COM

Satori 威脅情報(bào)團(tuán)隊(duì)的研究人員，剛剛曝光了谷歌 Play 商店上發(fā)現(xiàn)的 75 款、以及蘋果 App Store 上的 10 款廣告欺詐應(yīng)用程序，并且它們的總計(jì)安裝量達(dá)到了 1300 萬。除了向受害移動(dòng)設(shè)備用戶猛推廣告（可見或隱匿），開發(fā)者還通過冒充合法應(yīng)用程序與演示而牟利。盡管通常情況下不被視作嚴(yán)重的威脅，但幕后運(yùn)營者顯然可將之用于更危險(xiǎn)的活動(dòng)目的。

訪問：

Parallels Desktop 18 今年首次促銷：限時(shí)75折

(資料圖)

（來自：Human Security）

作為新一輪“Scylla”廣告欺詐活動(dòng)的一部分，Satori 已經(jīng)向谷歌和蘋果通報(bào)了這一情況。

分析師認(rèn)為，在 2019 年 8 月的“Poseidon”、以及 2020 年底達(dá)到頂峰的“Charybdis”之后，其正在掀起第三波活動(dòng)。

帶有 ID 欺騙指令的命令與控制（C2）服務(wù)器響應(yīng)

目前谷歌和蘋果已經(jīng)從 Android 和 iOS 官方應(yīng)用商店中刪除了相關(guān)廣告軟件。對(duì)于 Android 移動(dòng)設(shè)備用戶來說，除非你已禁用 Play Protect 安全選項(xiàng)，否則系統(tǒng)是可以在更新后自動(dòng)執(zhí)行掃描的。

至于 iOS，我們尚不清楚蘋果將如何剔除已安裝在客戶端設(shè)備上的廣告軟件。實(shí)在不放心的話，你可以參考 Human Security 分享的以下嫌疑 App 列表。

在網(wǎng)絡(luò)視圖中被揪出的廣告 UI 元素

iOS 應(yīng)用列表：

● Loot the Castle —— com.loot.rcastle.fight.battle (id1602634568)
● Run Bridge —— com.run.bridge.race (id1584737005)
● Shinning Gun —— com.shinning.gun.ios (id1588037078)
● Racing Legend 3D —— com.racing.legend.like (id1589579456)
● Rope Runner —— com.rope.runner.family (id1614987707)
● Wood Sculptor —— com.wood.sculptor.cutter (id1603211466)
● Fire-Wall —— com.fire.wall.poptit (id1540542924)
● Ninja Critical Hit —— wger.ninjacriticalhit.ios (id1514055403)
● Tony Runs —— com.TonyRuns.game

在隱形廣告上生成虛假點(diǎn)擊的代碼示例

Android 應(yīng)用列表（超百萬次下載量）：

● Super Hero-Save the world! —— com.asuper.man.playmilk
● Spot 10 Differences —— com.different.ten.spotgames
● Find 5 Differences —— com.find.five.subtle.differences.spot.new
● Dinosaur Legend —— com.huluwagames.dinosaur.legend.play
● One Line Drawing —— com.one.line.drawing.stroke.yuxi
● Shoot Master —— com.shooter.master.bullet.puzzle.huahong
● Talent Trap —— NEW —— com.talent.trap.stop.all

JobScheduler 代碼示例

Bleeping Computer 指出，Scylla 類廣告軟件因“掛羊頭，賣狗肉”欺騙用戶下載而臭名昭著。

其中 29 款模仿了多達(dá) 6000 個(gè)基于 CTV 的應(yīng)用程序，并定期循環(huán)改 ID 而逃過欺詐檢測(cè)。

廣告流量的網(wǎng)絡(luò)日志

在 Android 平臺(tái)上，廣告會(huì)被加載在隱藏的 WebView 窗口中。由于一切發(fā)生于后臺(tái)，因而受害者始終無法留意到任何可疑的事情。

此外與“萬惡之源”Poseidon 相比，Scylla 還利用了 Allatori Java 混淆器來加花代碼，使得針對(duì)此類廣告軟件的檢測(cè)和逆向工程變得更加困難。

Scylla 應(yīng)用加載示例

綜上所述，Satori 威脅情報(bào)研究團(tuán)隊(duì)建議 Android / iOS 用戶養(yǎng)成定期檢查已安裝 App 列表的習(xí)慣。

不過比揪出那些行為異常（比如導(dǎo)致過快耗電 / 流量消耗）的惡意或不需要的 App 更重要的，還是盡量避免從不受信任的來源下載軟件。

關(guān)鍵詞： Satori通報(bào)85款影響Android和iOS平臺(tái)的廣告軟件