一场移动欺诈活动使用了22个Android应用程序,诱使在线广告商为iPhone 5至8 Plus上的广告支付更高的价格。它们的功能并不仅限于广告欺诈,因为开发人员添加了下载功能,允许从开发人员在移动端点上的服务器获取任意文件。
此外,开发人员在开机时启动应用程序,在系统设置中关闭三分钟后重新启动它们,从而保持它们在手机上的运行。欺诈应用程序是游戏和实用程序,是Android用户最喜欢的类别。其中最受欢迎的是一种名为Sparkle的手电筒,安装量超过100万。伪造用户代理字符串来显示苹果设备的一种解释是,与Android相比,网络广告发送到ios平台的需要支付更高的费用。
Sophos Labs恶意软件研究员陈宇表示,其中一些欺骗性应用程序已在Android市场上推出超过一年,直到Google在11月25日这一周清理它们。据调查,大多数应用程序是在2018年6月或之后创建的,当时clickfraud代码似乎也被添加到旧版本中。
根据研究人员的说法,广告投放不会导致预期之外,破坏性的全屏广告,否则会激怒用户并引起他们对应用的注意。相反,恶意广告调用是在隐藏的浏览器窗口中进行的,其中app模拟用户与广告的互动。这对用户的唯一影响是更快地消耗电量和更多的数据使用。
Sophos检测到该恶意软件为Andr/ click -ad,与命令控制(C2)服务器通信,获取广告。服务器返回下载广告的参数和使用特定iOS应用程序的说明。有时说明书还包括假的手机型号信息。这意味着服务器可以控制恶意软件对任何移动应用和设备发起的广告请求,从而实现利益最大化。
研究员表示,欺诈活动有时会在服务器指定的时间发生,还会假冒33个品牌的249款安卓(Android)手机,涵盖了市场上最受欢迎的设备。值得注意的是,这种行为只在Android应用程序中观察到;他们的iOS版本没有显示广告点击功能。Sophos一共抓获了22个诈骗应用,安装次数超过200万次。