来自 安全 2022-06-01 14:50 的文章

网站防御_游戏盾隐藏IP_精准

网站防御_游戏盾隐藏IP_精准

色情点击器应用程序模仿流行的Dubsash应用程序溜进谷歌Play

从丽娜·邓纳姆到休·杰克曼等名人都在使用谷歌Play上(目前)第七大最受欢迎的应用程序:Dubsash。Dubsash是一款安装了1000多万个Google Play的应用程序,用户可以选择声音,录制视频,ddos防御腾讯,并将其配音发送给朋友或社交媒体频道。Dubsash不仅在青少年和名人中广受欢迎,而且该应用程序也引起了恶意软件作者的注意。

Avast最近在Google Play上发现了"Dubsash 2"(软件包名为"com.table.hockes")——不,它不是原始应用程序的更大更好的版本。该应用程序是一个所谓的"色情点击器",从谷歌Play商店安装了100000-500000次。当我们发现这个流氓应用程序时,我们联系了谷歌,不久之后它就被从Play Store中删除了。安装应用程序后,用户设备上没有显示名为"Dubsmash 2"的应用程序,而是安装了名为"Setting IS"的应用程序图标。这是恶意软件作者常用的伎俩,什么是cc如何防御,让用户更难找出哪个应用程序引起了问题。这也应该是用户的第一个线索,一些阴暗的事情正在发生。"设置是"图标看起来与实际的Android设置图标非常相似(见下面的屏幕截图)。

该应用程序的恶意活动可能由两个动作触发。第一种可能的方法是通过简单地启动"Settings IS"应用程序,第二种方法是通过应用程序中的BroadcastReceiver组件,只有当用户尚未启动应用程序时才会发生。BroadcastReceiver观察到设备的互联网连接,如果BroadcastReceiver注意到设备已连接到互联网,则会触发应用程序的真正功能。

如果用户打开"设置为"应用程序,Google Play Store将启动到实际的"Dubsmash"应用程序下载页面。

一旦激活,应用程序向加密的URL发送了HTTP GET请求。如果请求返回一个包含字符"1"的字符串,那么两个服务将开始工作:MyService和Streaming。使用这种方法,作者还可以有效地远程关闭服务的启动。

MyService服务通过从设备主菜单中删除"Settings IS"应用程序图标开始,并计划每60秒在设备后台运行一次任务,这意味着用户从未意识到发生了任何事情。该任务将从应用程序中存储的加密URL下载到各种色情网站的链接列表,以及JavaScript执行代码。列表中的一个色情链接将在浏览器中启动,十秒钟后,JavaScript代码(也从加密URL下载)被执行,点击色情网站中的其他链接。在下图所示的情况下,该功能从网页上打开了一个随机链接。

第二项服务,即流媒体服务,在结构上与MyService组件非常相似,它还计划每60秒运行一次任务。与MyService的主要区别在于,用户可能会注意到服务任务没有在后台秘密运行。该任务将检查设备IP地址或日期的更改。如果其中任何一个发生了变化,将在设备的YouTube应用程序中启动视频。需要在设备上安装YouTube应用程序才能正常运行。视频地址也是从加密的URL获得的。

在解密并进一步检查URL和来自YouTube的视频后,Avast病毒实验室得出结论,该恶意软件最有可能来自土耳其。Google Play和YouTube上列出的开发人员姓名暗示了这一点。

我们怀疑该应用程序开发人员使用色情点击器方法获取经济利益。通过点击色情网站内的多个广告,应用程序开发人员可能从广告商那里获得按点击付费的收入,广告商认为他在网站上展示他们的广告是为了让人们真正看到。

尽管不受欢迎,但基本上对用户无害,防御cc的cdn,并且没有Fobus或Simplocker等其他恶意软件家族那么复杂,该应用程序表明,尽管有保护措施,宝塔能防御cc攻击,但愚弄用户的不受欢迎的应用程序仍然可以溜进Google Play store。

如果您安装了Dubsmash 2(软件包名称"com.table.hockes"),你可以通过进入设置->应用->查找"设置是",cc防御验证,然后卸载该应用来删除该应用。

Avast移动安全应用程序将此威胁检测为Android:Clicker。SHA-256散列:DE98363968182C27879AA6BD9A499E30C6BFCC10371C90AF2EDC232350FAC4

感谢Nikolaos Chrysaidos对分析的帮助:)