虚假应用潜入TOP100：论恶意软件如何逃过检测

Google play和ios应用商店对试图诱骗用户下载广告或恶意软件的应用有很严密的检测。最近，我们还发现了隐藏在应用商店合法产品中的恶意应用程序。这些应用诱骗不知情的用户下载赌博应用。

我们在ios应用商店和google play上发现了数百个虚假应用，它们的描述与其内容不一致。虽然这些应用的描述各不相同，但它们有着相同的行为：会转化为赌博应用，这些应用可能因违反当地政府法规和应用商店政策而被禁止。一些应用程序排名前100被多次下载，有些甚至被评为超过10万次。

应用传播方式

这些应用程序可以通过赌博网站或应用程序商店下载。例如，访问网站时，将显示以下页面。

网站上的下载按钮会将用户重定向到应用商店，说明了这些赌博应用通过了iOS应用商店的审查。一些应用程序会弹出一个网页，诱使用户安装一个不受应用程序商店监管的应用程序。

对于android用户，下载按钮会将他们重定向到一个页面，该页面可下载android应用程序包（apk）文件，这个apk与通过webview加载的赌博应用程序具有相同的用户界面。

如上图所示，app store上的应用程序描述为葡萄酒。但在打开应用程序时发现了一个不同的内容，与之前提到的网页相似。下载的应用程序与其在应用商店上的描述完全不同。

这些应用程序在google play上的部署方式类似。图6显示了google play列表的屏幕截图，以及用户启动应用程序时的实际界面。

如何绕过应用商店的审查

在app store和google play上不禁止赌博或金钱游戏应用程序，但它们受到严格限制。此外，google play只允许在某些国家使用赌博应用程序，只要这些应用程序满足其要求。

这些虚假应用程序以一个普通的应用程序伪装自己，具有不同的特性和功能（例如，用于天气或娱乐功能），但这些假应用程序可以被控制。面的流程图中描述了整个过程。

首先，应用程序有一个“切换”功能，攻击者可以将应用程序设置为显示或隐藏实际的应用程序内容。在这种情况下，api在应用程序的审查过程中被关闭。

请注意，在下图中，kaiguan这个词在中文中的意思是打开/关闭，而1700对于这些应用程序来说似乎是一个不寻常的数字。

应用程序将使用其应用程序ID查询指定的地址。相应的响应将以Base64编码。如果应用程序ID无效，则响应将返回为空。

如果数据不为空并且可以成功解码，则将使用url在webview中加载。

在ios上，如果响应为空，webview将被隐藏，以便“正常”应用程序可以继续。

在android系统上，如果为空，它只会跳转到本地，应用程序将继续其“正常”（商店批准）的应用程序功能。

因此，在审查应用程序之前，开发人员只需按下“关闭”开关，就可以启动一个外观正常的应用程序。该应用可能会通过应用商店的审查，因为赌博功能已经被隐藏。应用程序通过审查后，可以从应用程序商店公开下载它们。然后，攻击者将其“打开”以允许查看应用程序的实际内容。

应用排名

在进行研究时，应用程序只使用webview加载赌博网站，而没有在设备上做任何恶意操作。尽管这些应用程序可能是假的，但它们的排名仍然高于它们所模拟的应用程序。

根据google play的数据，应用程序只在2019年8月发布，这也解释了它们的下载量低的原因。iOS应用商店并非如此，在app store上进行的关键字搜索显示，有两个应用属于相同app，假冒应用程序的排名高于其类似的应用程序。

合法的应用程序已经更新了两年，而假冒的应用程序在过去六个月里只有两次小的更新，弹出式webview是在第二次更新中植入的。

在中国的iOS应用商店中，似乎有许多假冒的应用已经出现，并跻身前100名。这些应用程序下载量较高，其中一个甚至获得44万的下载量。

搜索了可能与ios应用程序商店上的应用程序相关的典型关键字，发现了以下匹配结果（在某些区域内受到限制）。

虚假应用程序的命令和控制（C&C）通信

C&C服务器app[.]kaiguan1700[.]com，用于控制上述三个应用程序（需要注意的是，其IP地址仅承载此URL）。在我们尝试访问它之后，服务器已关闭。与此同时，这些应用程序表现得和正常的应用程序相同，因为我们意外地“关闭”了“开关”，这表明这些应用共享同一个C&C服务器。

由于成百上千的假应用被上传到应用商店，并且他们使用不同的开发人员帐户，所以他们的类别各不相同。利用C&C服务器聚类是一个很好的区分方法，可将应用程序聚类在一起，防止它们被用户下载。

IOCs

*参考来源：trendmicro，由Kriston编译，转载请注明来自FreeBuf.COM