暗影安全实验室 | “A.I.type”虚拟键盘”的风险提示
1.样本信息
MD5:E3F0CF482181E42D5A95CF480206F50F
包名:com.aitype.android
安装名称:A.I.type键盘
安装图标:
2.技术分析
图2-1 重定向URL请求
图2-2 游戏平台硬编码链接
图2-3 模拟点击
它会在后台静默打开如下页面:
图2-4 广告服务页面
图2-5 获取javascript代码
在未经过用户的同意下,模拟点击广告。
图2-6 模拟点击服务
3.广告服务器地址
表3-1 服务器地址分布
4. 应用危害
A.I.type键盘的流行被用来掩盖执行违规行为。在用户不知情的情况下在后台执行模拟点击广告和订阅付费服务的操作。虽然该活动部分针对的是广告商,但它在以下几个方面影响了用户。
(1)在后台模拟点击频繁访问其它网站会造成用户移动流量的损耗。
(2)订阅付费服务会造成用户财产的损失。
(3)频繁的后台操作可能会使设备过热,减少电池寿命,影响其整体性能。
5.安全建议
-
如果你的设备已下载该应用,建议卸载。并审查设备上是否存在服务订阅短信。如存在请马上退订。 -
坚持去官网下载正版软件,避免从论坛下载软件,可以有效的减少该类恶意软件的侵害。 -
关注”暗影安全实验室”公众号,获取最新实时移动安全状态,避免给您造成损失和危害。 -
安装好杀毒软件,能有效的识别已知的病毒。
文中部分图片引用至国外报告:
https://www.welivesecurity.com/2019/11/05/android-keyboard-app-caught-redhanded-sneaky-purchases/。
(转载自暗影安全实验室,部分图片来源网络)
暗影安全实验室
暗影安全实验室是恒安嘉新移动安全能力支撑部门,由移动安全、病毒分析、移动应用漏洞挖掘等众多领域专家组成。该实验室作为中国移动研究院,CNCERT的技术支撑服务团队,长期支撑完成了重要移动安全领域的国家级项目核心支撑工作。通过6年时间自主研发的大流量病毒研判引擎对PC样本、移动样本均有世界顶尖的研判能力,并获得国际知名第三方信息安全测评机构“赛可达实验室”的权威认证,与同类产品对比研判指标处于领先水平。通过与本公司流量分析引擎结合,在骨干网与移动核心网中对样本文件进行实时精准的研判,目前部署在移动、联通、电信三大运营商僵木蠕、移动恶意程序检测系统中,日均处理10万级别样本量。