国内某广告SDK会从Android手机中窃取用户数据，感染App下载量过亿

来自移动安全公司 Lookout 的研究人员最近发现，不少 Android 平台的合法 App 所用的广告 SDK 会秘密窃取用户数据，这款恶意广告 SDK 就来自中国，而 App 窃取到的数据则会发往国内的服务器。

包含恶意 SDK 的 App 下载量过亿次

这款广告 SDK 来自国内一家名为 Igexin（个信）的公司，从 Lookout 的报告来看，超过 500 款 App 中用了该 SDK。而且这些 App 就位于谷歌的官方应用商店 Play Store 中。这些 App 的下载总量超过 1 亿次。

Lookout 表示他们是在发现某些手机下载已知恶意程序样本，并向 Igexin API 服务器发出请求后开始追踪 Igexin SDK 的。研究人员观察到某个 App 向 http://sdk[.]open[.]phone[.]igexin.com/api.php 的 REST API 发出一系列请求后，开始下载大型加密文件。这个域名就是 Igexin 的广告 SDK。

Lookout 认为，这类流量都是某个合法 App 安装后下载执行恶意代码的结果，而且具有躲避检测的能力。下载加密文件，以及在 com.igexin 命名空间向 dalvik.system.DexClassLoader（用于加载来自 .jar 或 .apk 文件的类）的调用，就足以引起研究人员的怀疑了：显然存在隐藏其 payload 的行为。在持续数月的调查后，研究人员发现，Igexin 会给合法 App 发送恶意命令。

Lookout 基于这些合法 App 在安装期间向用户请求的权限观察到，Igexin SDK 收集用户设备上的各类数据，不过绝大部分是通话日志记录没，包括通话时间、通话的电话号码、通话状态。这些数据都会以 HTTP 请求的方式发往 http://sdk[.]open[.]phone[.]igexin.com/api.php 端点。

值得一提的是，并非所有版本的 Igexin 广告 SDK 都有恶意行为。而恶意版本会执行某个插件框架，可让客户端加载任意代码——针对 http://sdk[.]open[.]phone[.]igexin.com/api.php 的 REST API 端点请求响应。

来自该端点的请求和响应都是已编码的 JSON 数据。上面这张图就是来自该 API 的解码响应，引导客户端下载并执行 2 个加密 JAR 文件中的代码。基于从服务器接收到的响应，SDK 会对文件进行解密 —— API 调用提供密钥，并存储在设备上。随后再采用 Android 系统的 dalvik.system.DexClassLoader 和反射来加载来自 JAR 文件的特定类。

下载类中的插件功能完全可以由远程运营者决定，随时都可以发生变化。在远程 API 请求发出之后，用户和 App 开发者实际上都控制不了其执行。可能存在的唯一限制就是 Android 的权限授予了。不过就 Lookout 的观察来看，其行为都是收集上面提到的通话记录信息。

个信官网对公司产品的介绍

谷歌已经移除这些 App

Lookout 随后联系了谷歌和这些 App 的开发者。谷歌很快禁止了这些 App 的传播，等待开发者进行 App 更新后方可上架。

不过 Lookout 并没有指明究竟是哪些 App 包含 Igexin SDK，毕竟这不是 App 开发者的错。但 Lookout 提供了下面这张列表，提及分别有哪些类别的 App 被感染：

针对青少年的游戏（其中 1 款下载量达到 5000万 - 1亿次） 天气 App （其中 1 款下载量 100 - 500 万次） 互联网电台 （50 万 - 100 万次） 图片编辑工具（100 - 500 万次） 教育、健康与瘦身、旅行、表情、家用视频摄像头 App