本文介绍Check Point研究人员在Google Play中发现的一同广告歹意软件进犯活动。
Check Point研究人员近期在Google Play运用商铺中发现一同新的广告歹意软件进犯活动。研究人员发现进犯活动 *** 有206个运用程序，总下载量达1.5亿次。现在，Google现已从Google Play运用商铺中移除了受感染的运用程序。
SDK
歹意软件坐落RXDrioder的SDK中，这是addroider[.]com供给的，可是实际上是一个广告相关的SDK。研究人员信任歹意开发者想拐骗用户和开发者运用歹意SDK，而不论其内容，因而该活动并不是进犯某个特定的国家。由于大多数受感染的运用的都是模拟器游戏，因而该歹意软件被并命名为SimBad。
感染链
用户下载和装置受感染的运用后，SimBad会注册到BOOT_COMPLETE和USER_PRESENT intents，这样就能够在设备发动完成后用户自行设备时履行动作。
装置后，歹意软件会连接到特定的C2服务器，并履行接纳的指令。SimBad在用户设备上能够做许多动作，比方从发动器上移除图标、展现布景广告、在浏览器中翻开给定的URL。

图1: 来自C2服务器的指令

图2: 隐藏在运用图标中的代码

图3: 发动布景广告的代码
SimBad行为
SimBad的功用能够分为3个部分：显现广告、垂钓和露出其他运用。由于能够在浏览器中翻开给定的URL，进犯者能够生成习惯多渠道的垂钓页面并在浏览器中翻开，这样能够履行鱼叉式垂钓进犯。
由于SimBad能够翻开Google Play这样的运用商场，因而能够翻开特定关键词搜索的页面或单个运用的页面，用户就会露出在更多的进犯面前。进犯者还能够从特定的服务器上装置长途运用以装置新的歹意软件。

图4:进犯向量阐明
C2服务器
进犯活动中运用的C2服务器是www[.]addroider.com，该服务器运转一个Parse Server的示例，Parse Server的开源版别供给给web运用和手机运用开发者一个链接运用和后台云服务和API的模型，供给用户办理、推送告诉这样的特征。
域名addroider[.]com是经过GoDaddy注册的，运用了隐私维护服务。当从浏览器拜访该域名时会看到一个与歹意软件面板相似的登陆页面。Register和Sign Up的链接不能用，redirect会将用户重定向到login页面。

图5: 域名的login页面

图6:  RiskIQ’s PassiveTotal上的whois信息
依据RiskIQ’s PassiveTotal的数据，该域名7个月之前就过期了。因而，该域名最开端的时分应该是被黑了，现在是被用于歹意活动中了。
总结
研究人员该歹意软件的功用尽管现在只要广告，可是会将用户露出到其他运用中，比方能够在浏览器中翻开一个URL，因而SimBad未来可能会开展成为更大的要挟。