脅威を発見した調査でリサーチチームによって最初に発見され、このようなアプリは合計で29です – 大量の広告トラフィックを保持し、また、これまでに350万ダウンロードを持っています。
このキャンペーンは、主に大多数のアプリが名前や機能に「ぼかし」要因を持っているため、「ChartreuseBlur」と呼ばれています。
悪いアプリの被害者になる人はまた、特定の特性の形でアラートを見ます。そのうちの1つは、インストールされたアプリのアイコンがホーム画面から消え、ユーザーが設定に入ってアプリが本当にインストールされているか、そこから開いているかを確認する「かくれんぼ」プレイが含まれています。プロセス全体を使用すると、平均的なユーザーがアプリを削除することも非常に困難になります。
さらに、これらのアプリでより一般的な特性をキャッチするために、研究チームはSquare Photo Blurと呼ばれる1つのアプリで分析を行いました – その動作が他の悪意のあるアプリの多くにどのように似ているかを考慮します。ダウンロードされると、アプリは、コンテキスト外の広告で携帯電話を砲撃し、その開発者は「トーマス·メアリー」のような、より英語の響きの名前を持っていた。Googleは後でPlayストアからスクエアフォトブラーアプリを削除しました。
研究者からのより多くの報告は、アプリが3段階のペイロード進化を持っていることを示しました。コードは最初の2つの段階では正常に表示されますが、第3段階では疑わしいアクティビティが行われることがわかりました。
最初の段階から、スクエアフォトブラーの場合、アプリはQihooパッカー(驚くべき兆候自体)の助けを借りてインストールされます。アプリはまた、コードを開発していない場合やコードの他の部分をテストしたい場合のために、開発者が通常使用するスタブを使用します。
インストールプロセスがステージ2に達すると、コードcom.appwallet.easyblurを持つブラーアプリは、アンパック後にスクエアフォトブラーで非常に表示されるようになりました。しかし、研究者は、このアプリは悪意のある何もしない、実際には、ユーザーが実際のアプリをダウンロードしているという事実を信じさせるためだけに存在すると言いました。
ステージ3は、アプリ内に隠された悪意のあるコードがOOC広告を生成し始め、その存在がcom.bbb.NewInなどのパッケージcom.bbb.*の形で見ることができる場所であるため、アプリの最も危険な部分です。アプリ内のこのコードは、ユーザーが携帯電話のロックを解除するとすぐにOOC広告が前面に表示されるようにし、充電に置くか、携帯電話からWiFiデータに切り替えることにしました。
デバイスを完全にインストールした後、研究者はSquare Photo Blurのアプリランチャーアイコンをクリックし、それがPlayストアのチェックに合格したアプリの中空のシェルであることを発見しました。
コード スニペットを発見する一方で、Satori チームは、このようなアプリをインストールする前に、レビューを読む必要があることをユーザーに提案しています。これは、レビューセクションで人々はあなたがインストールしようとしているアプリを介して起こり得る悪意のある攻撃からあなたを守ることができる真実をこぼれさせるためです。
チームはすでにGoogleに悪意のあるアプリのリストを報告しており、すぐにPlayストアから削除されています。あなたの携帯電話にそれらをインストールしている場合は、すぐにそれらを取り除きます。
研究者はまた、状況を監視し続けることを約束しました。
アプリのリストは以下の表にあります。