ExpensiveWall家族变种再现Google Play

ExpensiveWall家族变种再现Google Play

360烽火实验室

近期,360烽火实验室发现Google Play上架了4款均使用了某厂商加固的ExpensiveWall家族变种,它能够在用户不知情的情况下私自发送扣费短信,给用户带来经济损失。

我们发现后在第一时间通知Google,Google立即从其商店中删除了相关APP。但根据Google Play安装数据显示,仍然有10,000 – 50,000部手机受到感染。

  • 它是如何运作的
  1. 根据getSimCountryIso获取到的国别码获取不同的广告URL。
  2. 通过webview方法加载的JS广告页面。
  3. 在打开的广告展示页面上,点击关闭按钮×时触发发短信操作。

IOC

Package name:

com.cjwd.oieocvas

com.alex.emoticon

com.scate.scnote

com.supchar.emoticon

URL:

hxxp://new-bucket-36103e9e.s3.amazonaws.com/tg/a18faa8b-de20-4981-8e4b-90c37ea9a1a6.html

hxxp://new-bucket-36103e9e.s3.amazonaws.com/rs/808a666b-b2ac-4bb4-9674-7b6c9fd5772b.html

hxxp://new-bucket-36103e9e.s3.amazonaws.com/fl/c3c0a92c-5ac6-47bc-a92d-7252e41799a4.html

hxxp://new-bucket-36103e9e.s3.amazonaws.com/jk/ff6b14b7-6448-4ed8-bb8d-418bc5600614.html

hxxp://s3-ap-southeast-1.amazonaws.com/duxin.mcdd.page/lp/test/test.html

hxxp://s3-ap-southeast-1.amazonaws.com/duxin.mcdd.page/lp/th/aa3cfd3d-0d27-433a-9e80-99706d4d51eb.html

hxxp://s3-ap-southeast-1.amazonaws.com/duxin.mcdd.page/lp/ch/32ce56ee-bf73-4f3b-a3c9-5a50fbce462f.html

hxxp://new-bucket-36103e9e.s3.amazonaws.com/sewy/9222bfa8-ffba-4883-8524-6ac8493ef8e3.html

hxxp://new-bucket-36103e9e.s3.amazonaws.com/jk/7f7aa81f-b0d2-4987-9e8e-4b3bc4ee3b1e.html

hxxp://apptask-1251199640.cosger.myqcloud.com/stra/app_delicate_keyboard_0926_first46000cn.json

hxxp://apptask-1251199640.cosger.myqcloud.com/stra/app_proart_camera_1010_first46000cn.json

hxxp://apptask-1251199640.cosger.myqcloud.com/stra/app_rainbow_camera_1013_first46000cn.json

hxxp://apptask-1251199640.cosger.myqcloud.com/stra/app_horizon_camera_1027_first46000cn.json

 

 

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注