Android恶意应用程序Ai.type仍威胁数百万用户

2019年11月4日00:01:49 发表评论
AD1 AD2 AD3 AD4

Ai.type应用程序已于2019年6月从Google Play中删除,但仍在数百万个Android设备上仍然可用,并且仍可在其他Android市场上使用。

Android恶意应用程序Ai.type仍威胁数百万用户

研究人员警告用户删除流行的Android键盘应用程序,该应用程序一旦下载便会未经授权而购买高级数字内容。谷歌告诉Threatpost,它已经从Google Play市场中删除了该应用程序-但研究人员称,该应用程序已在全球至少4000万部手机上下载,因此仍然构成威胁。

据移动技术公司Upstream的研究人员称,该应用程序Ai.type允许用户使用各种字体和表情符号来个性化自己的键盘,该应用程序是由以色列公司Ai.type Ltd.开发的。Ai.type Ltd.没有回复Threatpost的置评请求。

研究人员说,一旦下载,该应用程序就会发出“可疑”请求,以在后台触发购买高级数字服务的服务,因此用户并未意识到这一活动。上游从下载Ai.type键盘的110,000个独特设备中检测到1400万个此类交易请求。研究人员说,如果未发现并阻止这些交易,该应用程序可能使受害者蒙受多达1800万美元的损失。

“该应用程序已经交付了数百万个隐形广告和虚假点击,同时向广告网络提供了有关真实视图,点击和购买的真实用户数据,” Upstream研究人员周四说。“ Ai.type的活动隐藏在其他身份下,包括伪装成欺骗流行的应用程序(例如Soundcloud)。该应用程序的窍门还包括一旦从Google Play商店中删除后,可疑活动就会激增。”

谷歌发言人在给Threatpost的电子邮件中证实,该应用已于2019年6月从Google Play中删除-但研究人员警告称,该应用仍可在其他Android市场上使用。此外,该应用程序还可以在Apple的App Store市场上使用。 苹果发言人告诉Threatpost,他们目前正在研究该应用程序。

实际上,从Google Play中删除后不久,可疑活动从2019年7月开始呈指数增长,持续了两个月。在13个国家/地区都记录了可疑活动,但在埃及和巴西尤为严重。

研究人员说,在测试中,他们审查了该应用程序对三星SM-J500F和三星GT-19500的影响。

安装在每台设备上的Ai.type版本都包含SDK框架,这些框架带有经过混淆的硬编码链接,这些链接返回到广告跟踪器,移动广告网络使用这些链接来显示广告。此外,该应用程序还会下载其他JavaScript代码,这些代码可用于执行自动点击。

然后,该应用程序伪装成流行的应用程序(例如Soundcloud),并向用户订阅高级服务,这些服务会耗尽移动数据并增加费用,并缩短电池寿命和设备整体性能。

关于受害者的支付信息如何用于高级服务的问题,上游研究人员告诉Threatpost,“这些是通过直接运营商计费(即使用用户的移动通话时间)收费的数字服务”。“无需访问任何银行帐号。”

可能会向用户提示某事不正确的一个危险信号是订阅验证文本。这些可以从高级数字服务发送到受害设备,以确认其参与。

除订阅外,该应用还需要获得上游研究人员归类为“危险”用户的大量权限-包括访问和查看短信,照片,视频,联系人数据和设备上存储的权限。

适用于iOS和Android的官方应用商店继续受到实施广告欺诈的应用的困扰。例如,在10月初, 研究人员在Apple官方App Store中发现了 17个应用程序,这些应用程序在后台进行了与广告相关的恶意活动,包括持续打开网页和单击链接而没有任何用户交互。

而且,在2019年初, Google Play 至少伪装了游戏,电视和遥控模拟器应用程序,删除了 85个带有广告软件的假冒应用程序。一旦下载,这些伪造的应用程序就会将自己隐藏在受害者的设备上,并继续每隔15分钟显示一次全屏广告。

就Ai.type而言,过去一直存在安全问题 –在2017年,超过3100万客户的个人数据通过暴露的数据库泄露。而且,在2011年,该应用程序陷入了困境,以纯文本形式将用户的击键发送到开发人员的服务器。

研究人员告诉Threatpost,他们尚未与Ai.Type LTD取得联系,而是通常调查并报告他们的发现“我们一直与公众和安全界公开分享。”

他们告诉Threatpost:“情况确实是这样,在我们发布报告后,开发人员会与我们联系以寻求进一步的见解和支持。”

研究人员建议所有下载Ai.type的消费者检查手机是否有异常行为。

“用户应定期检查手机并删除任何报告的恶意软件,”上游研究人员说。“他们还应该检查他们的账单,以获取访问高级数据服务的不必要或意外的费用,并留意数据使用量增加的迹象,这可能表明恶意应用程序正在后台使用数据。”

发表评论

后发表评论