SimBad：Google Play中的廣告惡意攻擊活動分析

本文介紹Check Point研究人員在Google Play中發現的一起廣告惡意軟體攻擊活動。

Check Point研究人員近期在Google Play應用商店中發現一起新的廣告惡意軟體攻擊活動。研究人員發現攻擊活動中共有206個應用程序，總下載量達1.5億次。目前，Google已經從Google Play應用商店中移除了受感染的應用程序。

SDK

惡意軟體位於RXDrioder的SDK中，這是addroider[.]com提供的，但是實際上是一個廣告相關的SDK。研究人員相信惡意開發者想誘騙用戶和開發者使用惡意SDK，而不管其內容，因此該活動並不是攻擊某個特定的國家。因為大多數受感染的應用的都是模擬器遊戲，因此該惡意軟體被並命名為SimBad。

感染鏈

用戶下載和安裝受感染的應用後，SimBad會註冊到BOOT_COMPLETE和USER_PRESENT intents，這樣就可以在設備啟動完成後用戶自行設備時執行動作。

安裝後，惡意軟體會連接到特定的C2伺服器，並執行接收的命令。SimBad在用戶設備上可以做很多動作，比如從啟動器上移除圖標、展示背景廣告、在瀏覽器中打開給定的URL。

圖1: 來自C2伺服器的命令

圖2: 隱藏在應用圖標中的代碼

圖3: 啟動背景廣告的代碼

SimBad行為

SimBad的功能可以分為3個部分：顯示廣告、釣魚和暴露其他應用。因為可以在瀏覽器中打開給定的URL，攻擊者可以生成適應多平台的釣魚頁面並在瀏覽器中打開，這樣可以執行魚叉式釣魚攻擊。

因為SimBad可以打開Google Play這樣的應用市場，因此可以打開特定關鍵詞搜索的頁面或單個應用的頁面，用戶就會暴露在更多的攻擊面前。攻擊者還可以從特定的伺服器上安裝遠程應用以安裝新的惡意軟體。

圖4:攻擊向量說明

C2伺服器

攻擊活動中使用的C2伺服器是www[.]addroider.com，該伺服器運行一個Parse Server的示例，Parse Server的開源版本提供給web應用和手機應用開發者一個鏈接應用和後台雲服務和API的模型，提供用戶管理、推送通知這樣的特徵。

域名addroider[.]com是通過GoDaddy註冊的，使用了隱私保護服務。當從瀏覽器訪問該域名時會看到一個與惡意軟體面板類似的登陸頁面。Register和Sign Up的鏈接不能用，redirect會將用戶重定向到login頁面。

圖5: 域名的login頁面

圖6: RiskIQ』s PassiveTotal上的whois信息

根據RiskIQ』s PassiveTotal的數據，該域名7個月之前就過期了。因此，該域名最開始的時候應該是被黑了，現在是被用於惡意活動中了。

總結

研究人員該惡意軟體的功能雖然目前只有廣告，但是會將用戶暴露到其他應用中，比如可以在瀏覽器中打開一個URL，因此SimBad未來可能會發展成為更大的威脅。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！