检测并消灭“岩羚羊”这种 Android 平台上的僵尸网络欺诈

文 | Google 安全软件工程师 Bernhard Grill、Megan Ruthven 和 Xin Zhao

Google 为保护用户在各类设备和环境中的安全而辛勤工作。这项工作有一部分涉及保护用户不受 潜在有害应用 (PHA) 的侵害，这让我们有机会观察各种针对我们生态系统的威胁。

例如，我们的安全团队近期发现了一个新的 PHA 系列（我们将其命名为“岩羚羊”），并采取了防御措施，让我们的广告和 Android 系统用户不受其侵害。

“岩羚羊”是一个 Android PHA 系列，它能够：

• 通过内含欺诈性图形的广告弹窗产生非法流量

• 通过自动在后台安装应用进行虚假应用推广

• 通过发送收费短信进行电话诈骗

• 下载并执行其他插件

干扰广告生态系统

“岩羚羊”是我们在例行的广告流量质量评估期间检测到的。通过分析基于“岩羚羊”的恶意应用，我们发现它们采用几种方法避开检测，并会试图通过显示欺诈性图形来欺骗用户点击广告。这种点击有时会导致下载其他实施短信诈骗的应用。因此，我们利用验证应用对“岩羚羊”应用系列进行了屏蔽，还剔除了那些试图戏耍我们广告系统的坏蛋。

由于之前有过应对此类广告欺诈应用的经验，我们的团队得以迅速采取措施，让我们的广告商和 Android 用户均得到保护。由于该恶意应用并未出现在设备的应用列表中，因此大多数用户都没见过这款不受欢迎的应用，也不知道应该将其卸载。正因如此，Google 的验证应用才显得极具价值，因为它能帮助用户发现并删除 PHA。

“岩羚羊”的真面目

“岩羚羊”是迄今为止在 Android 平台上发现的最庞大 PHA 系列之一，通过多种渠道扩散。据我们所知，Google 是率先公开识别并追踪“岩羚羊”的公司。

“岩羚羊”具有诸多不同寻常的特点，其中包括：

多级负载：

如下图所示，其代码执行分为 4 个不同级别，并且采用不同的文件格式。