“刷榜客”-- 手机木马Google Play恶意刷榜

   目前,随着应用市场内应用数量爆炸式的增长,App营销和推广的难度也越来越大,刷榜被普遍认为是一种应用推广的最佳捷径,它能够在短期内大幅提高下载量和用户量,进而提高应用的曝光率。曝光率的提升,带来下载量的激增,而激增的下载量又会保证排名靠前,以此呈现出滚雪球式的增长。国内App刷榜市场正逐步发展壮大,并衍生为一条完整的灰色产业链:应用开发者、刷榜服务商已经形成了一个紧密的结构。
   近日,百度安全实验室发现了一款专用于恶意刷榜的“刷榜客”手机僵尸木马。该木马内嵌与正常应用中,当用户安装此类应用后,用户设备即成为“刷榜客”僵尸。”刷榜客”手机木马的工作流程如下:
 

 
1、“刷榜客”请求控制服务器获取Google账号、密码登录信息。控制服务器返回Google登录帐户名及密码。
2、“刷榜客”获取登录Google账户和密码后,使用获取到的账号信息,通过模拟Google Play协议获取登录授权。
3、获得Google登录授权后,“刷榜客”请求控制服务器获取刷榜指令。
4、“刷榜客”根据刷榜指令,通过Google Play下载指定的应用,进行刷榜。
 
感染“刷榜客”手机木马的用户,会被“刷榜党”远程控制实施恶意刷榜,刷榜过程会消耗大量的数据流量。从控制服务器信息来看,该手机木马由国内开发者开发,由于国内网络的限制,该木马并不针对中国用户。

 

 

一、控制服务器相关功能分析:
 
访问指令控制服务器,即可直接进入服务器管理界面。服务器提供功能列表如下:
 

 


 
1、进入“增删改查 用户数据”页面,可以查看、修改、删除服务器已有的Google账号信息。目前服务器已有上万的Google账号、密码用于恶意刷榜。
 

 
2、进入“增删改查 任务数据”页面,可以新建刷榜任务。
 

 
3、进入“导入账户” 页面,可以根据国家,进行批量Google账户,密码信息上传。

 


 

 
二、“刷榜客”手机木马分析
 
1、恶意代码结构图

 


 

2、恶意代码分析
 
点击图标进入程序后,调用Task.init立即启动相关的刷榜代码:

 


 
Task.inti启动TaskService服务

 


 
TaskService调用DMainTask.doWork调用具体刷榜逻辑

 


 
DMainTask.doWork完成整个的Google账号获取、登录Google Play、获取刷榜指令和根据指令下载Google Play特定应用的任务。刷榜逻辑如下:

 


 
Google Play正常应用下载请求流程基本如下描述:
(https://github.com/egirault/googleplay-api/issues/30)

 


“刷榜客”手机木马就是通过代码协议模拟了以上下载流程,来实现Google Play恶意刷榜。

展开阅读全文

没有更多推荐了,返回首页