Google Play的游戏应用中存在恶意代码，可展示色情广告等

Check Point研究人员在Google Play应用商店中发现了60多款游戏app中存在恶意代码，而这些游戏app中许多都是针对儿童的。根据Google Play的统计数据，这些应用的下载量在300万~700万之间。

工作原理

因为恶意软件会展示色情广告，所以我们叫称之为

1.展示广告，而这些广告大多是色情的或少儿不宜的；

2.诱使用户安装伪造的安全应用；

3.诱使用户注册付费服务；

除了这三个主要的活动，恶意代码还会利用基础设施来完成其他的功能，比如凭证窃取。

图 1: AdultSwine操作流

恶意软件安装后，会等待重启或者锁屏的操作，此时恶意软件就会开始恶意行为了。

不合法、不合适的广告

首先，恶意代码会与C&C服务器联系，报告成功安装的状态，发送被感染设备的数据并接受配置数据，这些配置数据将决定接下来可以进行什么样的操作，具体包括是否隐藏图标、在哪些应用中展示哪些广告等。恶意软件的开发人员有一个很聪明的行为就是，配置数据中不会在浏览器、社交网络等特定的应用中展示广告，这样做的目的是避免被用户怀疑。

然后，恶意代码会验证关于设备状态的特定条件，检查当前屏幕运行的应用。一旦条件符合，就开始在应用的内容外展示一些不合法的广告。如果恶意代码嵌入在

广告的来源有两种，第一种是来源于应用的广告提供商，他们是禁止显示非法广告的；第二种是恶意代码自己的广告库，库中含有攻击性的广告，包括色情广告。当儿童在玩游戏时，这两种广告都会显示给与用户。

图 2: 恶意软件显示的广告和Google Play中用户的评论

Scareware欺骗用户安装的技巧

恶意代码的另一个行为是诱使用户安装非必要的、甚至有害的“安全应用”。

首先，恶意应用会显示一个广告提示用户的设备被病毒感染。用户一旦点击“Remove Virus Now”,就会被重定向到Google Play应用商店中，有经验的人都可以看出这是一种骗术，但是小孩子可能不会识别出来。

图 3 –1 Scareware 广告

图 3 –2 重定向的Google Play中的应用

图 3 –3 Google Play中的用户评论

注册付费服务

恶意应用的另一个功能就是注册付费服务，有一些服务是欺诈性质的，而且是用户没有要求发送或接受的。恶意应用会显示一些弹出广告，诱使用户点击。

下面是一个例子，弹出的广告说用户回答4个简单的问题就可以赢得一个iPhone。用户回答后，恶意代码就会显示用户回答正确并赢取一个iPhone。下一步就要求用户输入手机号码来领取奖品。一旦用户输入，恶意代码就会用输入的号码来注册付费服务。

威胁分析

目前来看，该恶意应用可恶至极，会从感情和金钱上对用户造成伤害。从原理上分析，攻击流非常简单，恶意代码从C&C服务器获取目标连接代码，然后展示给用户。有时候这些链接仅仅是个广告，但是也可能会被黑客用来进行社会工程学攻击。虽然这些应用是从Google Play这样的官方可信源下载的，但是也存在这样的安全问题。（看来Google Play等官方应用商店对上架应用的审查力度要加强了！）

附恶意应用名和下载量：

一些恶意应用的hash值：

更多参见https://research.checkpoint.com/malware-displaying-porn-ads-discovered-in-game-apps-on-google-play/