Clean Doctor与其他广告软件的对比:
为了宣传新的应用程序,广告软件通常会先下载应用程序,然后经常向用户显示应用程序的安装界面。用户安装该应用后,广告软件的开发者便会收到“促销”新应用的回款。Clean Doctor采取了不同的策略来实现推广新应用的目标。
Clean Doctor会从其C2服务器“familysdk[.]com””中获取任务信息,并从云存储服务中隐藏下载许多升级的应用程序。它不要求用户安装这些下载的应用程序,而是以两种不同的方式启动应用程序。
1.单击快捷方式启动:
Clean Doctor会在每个下载的应用程序的设备主屏幕上创建快捷方式(如下图所示)。当用户点击快捷方式时,它会在Clean Doctor的沙盒中启动相应的应用程序作为插件应用程序。对于大多数Android用户来说,点击快捷方式时,很难注意到这种启动与默认启动模式之间的区别。例如,当用户点击游戏“文明帝国”的快捷方式时,该游戏将会直接显示出来,但游戏实际上是作为插件应用启动的,并且在插件虚拟环境中运行。
样本2:多个应用程序的广告宣传
在2017年1月底,我们观察到,Google Play中广告软件应用程序“bloodpressure”(全名为“com.blood.pressure.bost”)也通过滥用Android插件技术来对宣传应用程序。此广告软件会自动启动单独的应用来显示广告,并在单个屏幕中推荐多个应用。
Bloodpressure最开始使用的是2.5版的嵌入式VirtualApp框架,但在2017年2月初已被Google Play删除。在删除时,Bloodpressure的安装次数已经到达为10000到50000次。 Bloodpressure在Google Play中的生命周期如下图所示:
Bloodpressure的技术原理分析
Bloodpressure的工作流程如下图所示:
具体步骤如下:
1.从远程服务器获取配置:
一旦主机应用启动,它就会通过URL http[:]//qwe.ortpale[.]com/conf/bloodinfo.txt连接到远程服务器,以获取配置文件。有趣的是,HTTP请求头中的User-Agent属性设置为“Ray-Downer”。
2.解码并保存插件应用程序
主机应用程序包括名为“protect.data”的原始资源。这个资源文件实际上是一个编码的插件APK文件。主机应用程序对此文件进行解码并保存。
3.安装插件应用程序
主机应用程序利用VirtualApp框架在其沙盒中安装插件应用程序。
4.启动插件应用程序
安装插件应用程序成功后,主机应用程序可以通过调用VirutalApp的API启动该插件。一旦插件应用程序启动,就可以开始向用户显示广告了。
总结
Android插件技术可以使广告软件开发者以新的方式进行获利。这种滥用插件技术的行为对广告 络以及Android用户都非常危险。我们希望移动开发 区和安全 区能共同合作,以解决Android插件技术中的安全问题。 Android用户也应该明白,在Android插件环境中操作时,他们的插件应用程序及其设备的隐私都处于危险之中。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!