超过1500万台设备安装了欺诈性Android广告SDK-赋能集团

每天,BitSight(一家企业网络安全评级公司)都会监控全球网络威胁形势,不断努力识别可能使用户和企业组织面临风险的软件。组织中存在恶意软件,或者仅仅是可能不需要的应用程序一一表明某些安全控制可能失败,或者应该采取一些额外的措施。

最近,BitSight 识别并处理了一个与 Android 广告软件开发工具包(SDK)相关的域,该工具包包含与潜在有害应用程序(PUA)一致的功能和行为。此 SDK 与安装在全球大量 Android 设备上的应用程序捆绑在一起,并且总安装量达到 1500 万次。

Arrkii 是一个 Android 广告 SDK,符合 Google Play 对他们认为是应用程序执行的恶意行为的定义。在分析了许多使用此 SDK 的应用程序后,我们的安全团队观察到以下被视为滥用或有风险的功能:

滥用用户跟踪:它收集 IMEI、MAC 地址和其他设备相关信息。

超过1500万台设备安装了欺诈性Android广告SDK-赋能集团

资源滥用:以滥用方式展示广告;通过在没有用户交互的情况下点击广告来进行广告欺诈;在未经用户同意的情况下静默安装应用程序。

超过1500万台设备安装了欺诈性Android广告SDK-赋能集团

隐藏行为:某些版本的 SDK 加载隐藏/加密/下载的代码。

超过1500万台设备安装了欺诈性Android广告SDK-赋能集团

自更新机制:无需通过 Google Play 商店的新代码即可自行更新。

超过1500万台设备安装了欺诈性Android广告SDK-赋能集团

BitSight 对这个 SDK 的部分基础设施进行了处理,我们在一个月内观察到了总共1500 万台不同的设备(使用 4000 万个不同的 IP 地址)。这会影响 144 个不同行业的 6,000 多个组织的设备。

超过1500万台设备安装了欺诈性Android广告SDK-赋能集团

超过1500万台设备安装了欺诈性Android广告SDK-赋能集团

赋能集团观察到的绝大多数感染发生在印度,尽管我们观察到来自 45 个不同应用程序的传入连接——大多数安装来自两个移动应用程序:com.nemo.vidmate (VidMate) 和com.xrom.intl.appcenter (应用商店魅族)。

请注意,BitSight 仅对 SDK 的几个版本进行了下沉,并且很可能在更多应用程序中存在其他版本,并且受影响的设备数量甚至更多。

一段时间以来,恶意广告 SDK 一直是 Android 生态系统不安全的主要来源。网上提供了许多可疑的 SDK,为愿意将它们添加到应用程序的应用程序开发人员提供了更高的收入。大多数嵌入这些 SDK 的应用程序可能都不是恶意的。但只是想通过他们的工作赚钱。但是,通过使用这些 SDK,应用程序开发人员通常会在不知不觉中将用户置于风险之中和/或助长广告欺诈。