本文转自暗影公众号

1. 概述

Clicker木马是广泛的恶意程序，旨在提高网站访问率在线赚钱。它们通过单击链接和其他交互式元素来模拟网页上的用户操作，实现无声地模拟与广告网站的交互，自动订阅付费服务。该木马是一个恶意模块，它内置于普通应用程序中，例如字典，在线地图，音频播放器，条形码扫描仪和其他软件。

Clicker木马报告： “A.I.type”虚拟键盘”的风险提示 。

最近在Google Play上发现了一个新的Clicker恶意软件家族Haken木马。该应用是一款提供位置方向服务的应用。与利用不可见Web视图的创建和加载来执行恶意点击功能的Clicker木马和Joker木马不同,Haken木马通过将本机代码注入Facebook和Google广告SDK的库中来实现模拟用户点击广告功能。通过点击广告来提高网站访问量赚取钱财。

图 1-1 Google Play上应用信息

用户抱怨该应用会弹广告，建议谨慎下载。

图 1-2 用户对该应用的评论

2. 技术分析

该程序的第一个入口是BaseReceiver广播接收器。其中注册了许多action，使该广播很容易被触发。

图 2-1 注册BaseReceiver广播

在该接收器内加载了lib库文件。通过在native层的startTicks函数调用本地com / google / android / gms / internal / JHandler ”类中的“ clm”方式。

图 2-2 加载库文件反射调用本地方法

此方法中注册了两个工作线程和一个计时器。其中wdt线程与C＆C服务器通信获取最新配置信息。而w线程由定时器触发用于检查配置信息并将代码注入到广告SDK（如Google的AdMob和Facebook）的与广告相关的Activity类中。

图 2-3 注册两个工作线程

工作线程一：

图 2-4 服务器交互

服务器下发的配置信息，其中包括用于更新服务器交互的地址。

图 2-5 从服务器获取配置信息

工作线程二：

w线程在设备已联网且应用已定时启动60000ms的情况下，启动活动。通过生成在1-4间的随机数匹配到启动哪个活动，这四个活动用于将代码注入到Facebook和Google广告类中，实现加载广告并模拟点击广告。

图 2-6 注入Facebook和Google

图 2-7 加载广告

模拟用户点击，点击从广告SDK中接收到的广告，这些功能都是通过反射机制实现的。

图 2-8 点击从广 告SDK中接收到的广告

服务器后台：

我们通过于应用与服务器交互的地址进入到该应用的服务器后台，发现该应用的开发者使用XAMPP平台搭建了个人网站和服务器。

图 2-9 Haken木马个人网站

服务器后台包含2个js文件。Js文件用于代码的注入实现模拟点击功能。

图 2-10 Haken木马服务器后台

样本信息：