专栏名称: 谷歌开发者
Google中国官方账号。汇集Android, Chrome, Angular等移动和网络开发技术、Google Play和AdMob等开发者成长、优化和变现平台。
目录
相关文章推荐
新浪科技  ·  #何小鹏说夸克是AI时代超级入口# ... ·  15 小时前  
新浪科技  ·  #网友呼唤雷军做卫生巾# ... ·  昨天  
新浪科技  ·  转发微博-20250314192012 ·  2 天前  
51好读  ›  专栏  ›  谷歌开发者

检测并消灭“岩羚羊”这种 Android 平台上的僵尸网络欺诈

谷歌开发者  · 公众号  · 科技媒体  · 2017-04-06 09:48

正文



文 | Google 安全软件工程师 Bernhard Grill、Megan Ruthven 和 Xin Zhao


Google 为保护用户在各类设备和环境中的安全而辛勤工作。这项工作有一部分涉及保护用户不受 潜在有害应用 (PHA) 的侵害,这让我们有机会观察各种针对我们生态系统的威胁。


例如,我们的安全团队近期发现了一个新的 PHA 系列(我们将其命名为“岩羚羊”),并采取了防御措施,让我们的广告和 Android 系统用户不受其侵害。

“岩羚羊”是一个 Android PHA 系列,它能够:

  • 通过内含欺诈性图形的广告弹窗产生非法流量

  • 通过自动在后台安装应用进行虚假应用推广

  • 通过发送收费短信进行电话诈骗

  • 下载并执行其他插件



干扰广告生态系统


“岩羚羊”是我们在例行的广告流量质量评估期间检测到的。通过分析基于“岩羚羊”的恶意应用,我们发现它们采用几种方法避开检测,并会试图通过显示欺诈性图形来欺骗用户点击广告。这种点击有时会导致下载其他实施短信诈骗的应用。因此,我们利用验证应用对“岩羚羊”应用系列进行了屏蔽,还剔除了那些试图戏耍我们广告系统的坏蛋。


由于之前有过应对此类广告欺诈应用的经验,我们的团队得以迅速采取措施,让我们的广告商和 Android 用户均得到保护。由于该恶意应用并未出现在设备的应用列表中,因此大多数用户都没见过这款不受欢迎的应用,也不知道应该将其卸载。正因如此,Google 的验证应用才显得极具价值,因为它能帮助用户发现并删除 PHA。



“岩羚羊”的真面目

“岩羚羊”是迄今为止在 Android 平台上发现的最庞大 PHA 系列之一,通过多种渠道扩散。据我们所知,Google 是率先公开识别并追踪“岩羚羊”的公司。


“岩羚羊”具有诸多不同寻常的特点,其中包括:


多级负载:

如下图所示,其代码执行分为 4 个不同级别,并且采用不同的文件格式。









请到「今天看啥」查看全文