来自移动安全公司 Lookout 的研究人员最近发现,不少 Android 平台的 App 所用的广告 SDK 会秘密窃取用户数据,这款恶意广告 SDK 就来自中国,而 App 窃取到的数据则会发往国内的服务器。这其实已经不是国内的广告商第一次出现这种情况了。
这款广告 SDK 来自国内一家名为 Igexin(个信)的公司,从 Lookout 的报告来看,超过 500 款 App 中用了该 SDK。而且这些 App 就位于谷歌的应用商店 Play Store 中,应用下载总量超过 1 亿次。
Lookout 表示他们最早发现某些手机会下载已知恶意程序样本,并向 Igexin API 服务器发出请求,所以就开始追踪 Igexin SDK 了。研究人员观察到某个 App 向
Lookout 认为,一般来说,某个 App 安装完成后,会有这种动作的都是在下载恶意代码——这种方式通常具有检测的能力。下载加密文件,以及在 com.igexin 命名空间向 dalvik.system.DexClassLoader(用于加载来自 .jar 或 .apk 文件的类)的调用,的确足以引起研究人员的怀疑:显然是在隐藏 payload。在持续数月的调查后,研究人员发现,Igexin 会给 App 发送恶意命令。
Lookout 基于这些 App 在安装期间向用户请求的权限观察到,Igexin SDK 能够收集用户设备上的各种数据,不过绝大部分是通话日志记录,包括通话时间、通话的电话号码、通话状态。这些数据都会以 HTTP 请求的方式发往 hxxp://sdk[.]open[.]phone[.]igexin.com/api.php 端点。
值得一提的是,并非所有版本的 Igexin 广告 SDK 都有恶意行为。而恶意版本会执行某个插件框架,可让客户端加载任意代码——针对api.php 的 REST API 端点请求响应。
来自该端点的请求和响应,都是编码过的 JSON 数据。这张图就是来自该 API 的解码响应,引导客户端下载并执行 2 个加密 JAR 文件中的代码。基于从服务器接收到的响应,SDK 会对文件进行解密 —— API 调用提供密钥,并存储在设备上。随后再采用 Android 系统的 dalvik.system.DexClassLoader 和反射来加载来自 JAR 文件的某个类。
下载类中的插件功能完全可以由远程运营者决定,随时都可以发生变化。在远程 API 请求发出之后,用户和 App 开发者实际上都控制不了其执行。可能存在的唯一就是 Android 的权限授予了。不过就 Lookout 的观察来看,其行为都是收集提到的通话记录信息。
Lookout 随后联系了谷歌和被感染 App 的开发者。谷歌很快了这些 App 的,等待开发者进行 App 更新后方可上架。
不过 Lookout 并没有指明究竟是哪些 App 包含 Igexin SDK,毕竟这不是 App 开发者的错。但 Lookout 提供了下面这张列表,提及分别有哪些类别的 App 被感染:
网友评论 ()条 查看