我们的行动情报平台标记了三个有害的美容应用程式,这些应用程式的后果相当糟糕,已有超过200万装置下载了这些应用。
在2019年2月,Avast的行动威胁情报平台(MTIP)发现了一些在GooglePlay商店中伪装成合法的“自拍美容应用程式”,实际上却充满了和。我们发现的三款应用程式分别是
Pro Selfie Beauty Camera 、 Selfie Beauty Camera Pro 和 Pretty BeautyCamera – 2019
。这些应用声称可以为自拍照片添加滤镜并修改照片中人的外貌,但事实上主要包含恶意广告软体,会激烈显示广告以及可以进行通话、窃听通话、检索装置位置和更改装置网路状态的间谍软体。这些应用程式的安装量均超过50万,其中
Pretty Beauty Camera – 2019 的安装已超过100万。根据我们的数据,这些应用主要由位于印度的Android用户安装。
这些应用拥有成千上万的评价,大多数评分较低,评论指出这些应用根本无法运作,反而不断显示广告。不过,也有一些正面评价,很可能是虚假的。
隐藏的美丽
一旦安装并启动这些应用,它们会在应用内激烈显示广告,甚至在重新启动手机后在应用外部全屏显示广告。广告的频率由从远端指挥和控制伺服器下载的档案决定。
这些应用也很难删除,因为它们的图示经常隐藏在Android启动器萤幕上,这使得使用“拖放”功能的Android用户无法通过拖动将应用删除。这可能是为了让应用背后的人从显示的广告中获利。每当显示广告时,这些不法分子就能从广告商获得收益。因此,他们故意让用户难以删除应用,以便能显示更多广告并赚取更多钱。这些应用会检查以下启动器:Apex、HTCSense、360 Launcher、QQ Launcher、华为、OPPO、LG、三星等。如果检查到下面截图中列出的任何启动器,应用程式将自动卸载其图示。
除了显示广告外,这些应用还能打电话、录音、更改网路状态、在其他应用上显示画面、读取装置的外部存储等等。
以下是Avast apklab.io提供的摘要,列出这些应用的所有功能。
中国的作者
我们注意到一些细节,使我们相信应用的作者可能是中国人。例如,其中一位开发者的电子邮件地址是 [email protected]
,这是中文名的罗马拼音,且在代码中,特别是在assets资料夹下的params.txt文件中也含有简体中文词汇。
这些应用同样使用腾讯的Bugly工具,这是一种为开发者提供崩溃报告并允许他们向应用发送更新通知的工具。最后,这些应用检查的启动器中包含许多在中国可用的启动器。
在启动器上显示的Google Play商店截图
根据我们内部的apklab.io的遥测数据及Google Play商店的评价,大部分受害者来自印度,其他受害者则分布在缅甸、印尼等地。
内部遥测结果显示 “com.selfie.beauty.candy.camera.pro” 应用最新版本的下载情况最多。
一些应用仍然使用HTTP来从远端伺服器更新广告配置,这很容易被识别。
广告和Bugly分析的网路追踪截图
来自远端伺服器的配置更新截图 d3pukqxlxhielm.cloudfront.net
来自d3pukqxlxhielm.cloudfront.net的config.json截图
关于此博客中讨论的广告软体和恶意应用的Google Play商店连结
https://play.google.com/store/apps/details?id=com.selfie.beauty.candy.camera.pro
https://play.google.com/store/apps/details?id=org.selfie.beauty.camera.pro
https://play.google.com/store/apps/details?id=com.selfiepro.camera
这些应用的类别以及使用的远端伺服器让我们怀疑,它们可能与TrendMicro在1月下旬报告的有关。
你该怎么做?
安装像是的防病毒软体,可检测这类应用,保护用户免受恼人的广告软体侵扰。
从可信的开发者处下载应用。虽然Google Play商店被认为是可信的应用商店,但你仍需要仔细检查应用开发者的声誉。
阅读应用描述和评论。如果出现许多错字,这应该提醒你该应用可能不正当。如果评论多数为负面且提到广告软体,则是另一个不下载该应用的信号。
如发现任何异常行为,立即卸载应用程序。
分析过的档案
| 包名 | SHA256 | | — | — | | com.selfie.beauty.candy.camera.pro | | | org.selfie.beauty.camera.pro | | | com.selfiepro.camera | |
标记为、、、
分享:XFacebook
