“刷榜客”-- 手機木馬Google Play惡意刷榜

標籤：android安全   android病毒   

   目前，隨著應用市場內應用數量爆炸式的增長，App營銷和推廣的難度也越來越大，刷榜被普遍認為是一種應用推廣的最佳捷徑，它能夠在短期內大幅提高下載量和使用者量，進而提高應用的曝光率。曝光率的提升，帶來下載量的激增，而激增的下載量又會保證排名靠前，以此呈現出滾雪球式的增長。國內App刷榜市場正逐步發展壯大，並衍生為一條完整的灰色產業鏈：應用開發人員、刷榜服務商已經形成了一個緊密的結構。
   近日，百度安全實驗室發現了一款專用於惡意刷榜的“刷榜客”手機殭屍木馬。該木馬內嵌與正常應用中，當使用者安裝此類應用後，使用者裝置即成為“刷榜客”殭屍。”刷榜客”手機木馬的工作流程如下：
 

 
1、“刷榜客”請求控制伺服器擷取Google帳號、密碼登入資訊。控制伺服器返回Google登入帳戶名稱及密碼。
2、“刷榜客”擷取登入Google賬戶和密碼後，使用擷取到的帳號資訊，通過類比Google Play協議擷取登入授權。
3、獲得Google登入授權後，“刷榜客”請求控制伺服器擷取刷榜指令。
4、“刷榜客”根據刷榜指令，通過Google Play下載指定的應用，進行刷榜。
 
感染“刷榜客”手機木馬的使用者，會被“刷榜黨”遠端控制實施惡意刷榜，刷榜過程會消耗大量的資料流量。從控制伺服器資訊來看，該手機木馬由國內開發人員開發，由於國內網路的限制，該木馬並不針對中國使用者。

 

 

一、控制伺服器相關功能分析：
 
訪問指令控制伺服器，即可直接進入伺服器管理介面。伺服器提供功能列表如下：
 

 

 
1、進入“增刪改查 使用者資料”頁面，可以查看、修改、刪除伺服器已有的Google帳號資訊。目前伺服器已有上萬的Google帳號、密碼用於惡意刷榜。
 

 
2、進入“增刪改查 任務資料”頁面，可以建立刷榜任務。
 

 
3、進入“匯入賬戶” 頁面，可以根據國家，進行批量Google賬戶，密碼資訊上傳。

 

 

 
二、“刷榜客”手機木馬分析
 
1、惡意代碼結構圖

 

 

2、惡意程式碼分析
 
點擊表徵圖進入程式後，調用Task.init立即啟動相關的刷榜代碼：

 

 
Task.inti啟動TaskService服務

 

 
TaskService調用DMainTask.doWork調用具體刷榜邏輯

 

 
DMainTask.doWork完成整個的Google帳號擷取、登入Google Play、擷取刷榜指令和根據指令下載Google Play特定應用的任務。刷榜邏輯如下：

 

 
Google Play正常應用下載請求流程基本如下描述：
（https://github.com/egirault/googleplay-api/issues/30）

 

“刷榜客”手機木馬就是通過代碼協議類比了以上下載流程，來實現Google Play惡意刷榜。

“刷榜客”-- 手機木馬Google Play惡意刷榜