检测并消灭“岩羚羊”这种 Android 平台上的僵尸网络欺诈

文 | Google 安全软件工程师 Bernhard Grill、Megan Ruthven 和 Xin Zhao

Google 为保护用户在各类设备和环境中的安全而辛勤工作。这项工作有一部分涉及保护用户不受 潜在有害应用 (PHA) 的侵害，这让我们有机会观察各种针对我们生态系统的威胁。

例如，我们的安全团队近期发现了一个新的 PHA 系列（我们将其命名为“岩羚羊”），并采取了防御措施，让我们的广告和 Android 系统用户不受其侵害。

“岩羚羊”是一个 Android PHA 系列，它能够：

• 通过内含欺诈性图形的广告弹窗产生非法流量

• 通过自动在后台安装应用进行虚假应用推广

• 通过发送收费短信进行电话诈骗

• 下载并执行其他插件

干扰广告生态系统

“岩羚羊”是我们在例行的广告流量质量评估期间检测到的。通过分析基于“岩羚羊”的恶意应用，我们发现它们采用几种方法避开检测，并会试图通过显示欺诈性图形来欺骗用户点击广告。这种点击有时会导致下载其他实施短信诈骗的应用。因此，我们利用验证应用对“岩羚羊”应用系列进行了屏蔽，还剔除了那些试图戏耍我们广告系统的坏蛋。

由于之前有过应对此类广告欺诈应用的经验，我们的团队得以迅速采取措施，让我们的广告商和 Android 用户均得到保护。由于该恶意应用并未出现在设备的应用列表中，因此大多数用户都没见过这款不受欢迎的应用，也不知道应该将其卸载。正因如此，Google 的验证应用才显得极具价值，因为它能帮助用户发现并删除 PHA。

“岩羚羊”的真面目

“岩羚羊”是迄今为止在 Android 平台上发现的最庞大 PHA 系列之一，通过多种渠道扩散。据我们所知，Google 是率先公开识别并追踪“岩羚羊”的公司。

“岩羚羊”具有诸多不同寻常的特点，其中包括：

多级负载：

如下图所示，其代码执行分为 4 个不同级别，并且采用不同的文件格式。

这种多级执行过程增加了复杂性，使得无法立即将该系列的应用识别为 PHA，因为必须先剥掉外层，才能发现恶意部分。不过，Google 的管道不会被欺骗，因为它们的设计宗旨就是妥善应对这些情境。

自我保护：

“岩羚羊”试图利用模糊化和防分析技术逃避检测，但我们的系统可以相应采取反制措施，对这些应用进行检测。

自定义加密存储：

该系列采用一种自定义加密文件存储来存储其配置文件和附加代码，需要对这些文件和代码进行更深入的分析，才能识别该 PHA。

大小：

我们的安全团队对 10 万多行看似由专业开发者编写的复杂代码进行了筛查。由于 APK 的体积庞大，因此花费了一些时间才完成了“岩羚羊”的详细识别。

Google 的 PHA 对抗之道

“验证应用”可通过在用户下载经确定属于 PHA 的应用时发出警告来防止用户受到已知 PHA 的侵害，并且它还能让用户在应用已安装时将其卸载。此外，“验证应用”还能通过监控 Android 生态系统的状态来发现异常情况并进行调查。它还有助于通过设备上的行为分析发现未知 PHA。

例如，“岩羚羊”下载的许多应用都是 DOI 评分工具中排名前列的恶意应用。我们在“验证应用”中实现的规则可保护用户免受 Herole 侵害。

Google 会继续大力投资开发面向 Android 及其广告系统的反滥用技术，我们对许多团队在对抗“岩羚羊”之类 PHA 时所做的幕后工作感到自豪。

我们希望这篇摘要能令您洞见日益复杂的 Android 僵尸网络。

推荐阅读：

Android O开发者预览版终于推出啦！官方介绍新特性

向越来越多的HTTPS致敬！

Android 安全奖一年回顾

使用HTTPS确保安全性（Google开发者大会演讲PPT&视频）