國(guó)內(nèi)某廣告SDK會(huì)從Android手機(jī)中竊取用戶(hù)數(shù)據(jù)，感染App下載量過(guò)億

來(lái)自移動(dòng)安全公司 Lookout 的研究人員最近發(fā)現(xiàn)，不少 Android 平臺(tái)的合法 App 所用的廣告 SDK 會(huì)秘密竊取用戶(hù)數(shù)據(jù)，這款?lèi)阂鈴V告 SDK 就來(lái)自中國(guó)，而 App 竊取到的數(shù)據(jù)則會(huì)發(fā)往國(guó)內(nèi)的服務(wù)器。這其實(shí)已經(jīng)不是國(guó)內(nèi)的廣告商第一次出現(xiàn)這種情況了。

包含惡意 SDK 的 App 下載量過(guò)億次

這款廣告 SDK 來(lái)自國(guó)內(nèi)一家名為 Igexin（個(gè)信）的公司，從 Lookout 的報(bào)告來(lái)看，超過(guò) 500 款 App 中用了該 SDK。而且這些 App 就位于谷歌的官方應(yīng)用商店 Play Store 中，應(yīng)用下載總量超過(guò) 1 億次。

Lookout 表示他們最早發(fā)現(xiàn)某些手機(jī)會(huì)下載已知惡意程序樣本，并向 Igexin API 服務(wù)器發(fā)出請(qǐng)求，所以就開(kāi)始追蹤 Igexin SDK 了。研究人員觀察到某個(gè) App 向

hxxp://sdk[.]open[.]phone[.]igexin.com/api.php 的 REST API 發(fā)出一系列請(qǐng)求后，開(kāi)始下載大型文件，而且文件是加密的。上面這個(gè)域名就是 Igexin 的廣告 SDK。

Lookout 認(rèn)為，一般來(lái)說(shuō)，某個(gè)合法 App 安裝完成后，會(huì)有這種動(dòng)作的都是在下載惡意代碼——這種方式通常具有躲避檢測(cè)的能力。下載加密文件，以及在 com.igexin 命名空間向 dalvik.system.DexClassLoader（用于加載來(lái)自 .jar 或 .apk 文件的類(lèi)）的調(diào)用，的確足以引起研究人員的懷疑：顯然是在隱藏 payload。在持續(xù)數(shù)月的調(diào)查后，研究人員發(fā)現(xiàn)，Igexin 會(huì)給合法 App 發(fā)送惡意命令。

Lookout 基于這些合法 App 在安裝期間向用戶(hù)請(qǐng)求的權(quán)限觀察到，Igexin SDK 能夠收集用戶(hù)設(shè)備上的各種數(shù)據(jù)，不過(guò)絕大部分是通話日志記錄，包括通話時(shí)間、通話的電話號(hào)碼、通話狀態(tài)。這些數(shù)據(jù)都會(huì)以 HTTP 請(qǐng)求的方式發(fā)往 hxxp://sdk[.]open[.]phone[.]igexin.com/api.php 端點(diǎn)。

值得一提的是，并非所有版本的 Igexin 廣告 SDK 都有惡意行為。而惡意版本會(huì)執(zhí)行某個(gè)插件框架，可讓客戶(hù)端加載任意代碼——針對(duì) hxxp://sdk[.]open[.]phone[.]igexin.com/api.php 的 REST API 端點(diǎn)請(qǐng)求響應(yīng)。

來(lái)自該端點(diǎn)的請(qǐng)求和響應(yīng)，都是編碼過(guò)的 JSON 數(shù)據(jù)。上面這張圖就是來(lái)自該 API 的解碼響應(yīng)，引導(dǎo)客戶(hù)端下載并執(zhí)行 2 個(gè)加密 JAR 文件中的代碼。基于從服務(wù)器接收到的響應(yīng)，SDK 會(huì)對(duì)文件進(jìn)行解密 —— API 調(diào)用提供密鑰，并存儲(chǔ)在設(shè)備上。隨后再采用 Android 系統(tǒng)的 dalvik.system.DexClassLoader 和反射來(lái)加載來(lái)自 JAR 文件的某個(gè)類(lèi)。

下載類(lèi)中的插件功能完全可以由遠(yuǎn)程運(yùn)營(yíng)者決定，隨時(shí)都可以發(fā)生變化。在遠(yuǎn)程 API 請(qǐng)求發(fā)出之后，用戶(hù)和 App 開(kāi)發(fā)者實(shí)際上都控制不了其執(zhí)行?？赡艽嬖诘奈ㄒ幌拗凭褪?Android 的權(quán)限授予了。不過(guò)就 Lookout 的觀察來(lái)看，其行為都是收集上面提到的通話記錄信息。

個(gè)信官網(wǎng)對(duì)公司產(chǎn)品的介紹

谷歌已經(jīng)移除這些 App

Lookout 隨后聯(lián)系了谷歌和被感染 App 的開(kāi)發(fā)者。谷歌很快禁止了這些 App 的傳播，等待開(kāi)發(fā)者進(jìn)行 App 更新后方可上架。

不過(guò) Lookout 并沒(méi)有指明究竟是哪些 App 包含 Igexin SDK，畢竟這不是 App 開(kāi)發(fā)者的錯(cuò)。但 Lookout 提供了下面這張列表，提及分別有哪些類(lèi)別的 App 被感染：

針對(duì)青少年的游戲（其中 1 款下載量達(dá)到 5000萬(wàn) – 1億次）

天氣 App （其中 1 款下載量 100 – 500 萬(wàn)次）

互聯(lián)網(wǎng)電臺(tái) （50 萬(wàn) – 100 萬(wàn)次）

圖片編輯工具（100 – 500 萬(wàn)次）

教育、健康與瘦身、旅行、表情、家用視頻攝像頭 App

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。