企业新闻company news

暗影安全实验室 | “A.I.type”虚拟键盘”的风险提示

导读：A.I.type虚拟键盘是由ai.type公司开发的一款可定制的移动设备屏幕键盘应用程序，允许终端用户根据个人喜好定制键盘。它还会随着时间的推移“学习”用户的写作风格，预测常用的单词和短语来加快写作速度。然而这款当下十分流行的虚拟键盘应用，在没有得到用户同意的情况下，通过模拟点击购买高级付费服务。

一份来自国外Secure-D实验室的报告称:”AI试图进行1400多万笔未经授权的交易，这些交易可能会给用户带来1800万美元的不必要费用”。这些试图购买服务的请求来自13个国家的11万台独立设备。非法活动在今年7月达到顶峰，并持续了两个月。GooglePlay于今年7月份正式将该应用下架。

通过搜索发现大量应用商店仍存在该应用。为了及时止损，避免更多用户遭受财产损失。暗影安全实验室特出此报告，提醒用户谨慎下载使用该软件。

1.样本信息

MD5：E3F0CF482181E42D5A95CF480206F50F

包名：com.aitype.android

安装名称：A.I.type键盘

安装图标：

2.技术分析

（1）该应用程序主要使用软件开发工具包(sdk)向用户订阅高级服务。主要包含以下几个包：

.com.holly.marge

.com.mb.num

.com.bear.data

.defpackage

这些sdk通过一系列重定向来导航到广告服务。

图2-1 重定向URL请求

其中com.mb.num包中加载的目标是MTNGamer plus Service – 一个移动游戏平台。

图2-2 游戏平台硬编码链接

通过调用javascript代码，实现模拟点击并自动订阅付费服务。

图2-3 模拟点击

它会在后台静默打开如下页面：

图2-4 广告服务页面

而在com.holly.marge包中，则试图在后台使用JavaScript下载广告。

图2-5 获取javascript代码

在未经过用户的同意下，模拟点击广告。

图2-6 模拟点击服务

3.广告服务器地址

表3-1 服务器地址分布

4. 应用危害

A.I.type键盘的流行被用来掩盖执行违规行为。在用户不知情的情况下在后台执行模拟点击广告和订阅付费服务的操作。虽然该活动部分针对的是广告商，但它在以下几个方面影响了用户。

（1）在后台模拟点击频繁访问其它网站会造成用户移动流量的损耗。

（2）订阅付费服务会造成用户财产的损失。

（3）频繁的后台操作可能会使设备过热，减少电池寿命，影响其整体性能。

5.安全建议

• 如果你的设备已下载该应用，建议卸载。并审查设备上是否存在服务订阅短信。如存在请马上退订。
• 坚持去官网下载正版软件，避免从论坛下载软件，可以有效的减少该类恶意软件的侵害。
• 关注”暗影安全实验室”公众号，获取最新实时移动安全状态，避免给您造成损失和危害。
• 安装好杀毒软件，能有效的识别已知的病毒。

文中部分图片引用至国外报告：

https://www.welivesecurity.com/2019/11/05/android-keyboard-app-caught-redhanded-sneaky-purchases/。

（转载自暗影安全实验室，部分图片来源网络）

暗影安全实验室

暗影安全实验室是恒安嘉新移动安全能力支撑部门，由移动安全、病毒分析、移动应用漏洞挖掘等众多领域专家组成。该实验室作为中国移动研究院，CNCERT的技术支撑服务团队，长期支撑完成了重要移动安全领域的国家级项目核心支撑工作。通过6年时间自主研发的大流量病毒研判引擎对PC样本、移动样本均有世界顶尖的研判能力，并获得国际知名第三方信息安全测评机构“赛可达实验室”的权威认证，与同类产品对比研判指标处于领先水平。通过与本公司流量分析引擎结合，在骨干网与移动核心网中对样本文件进行实时精准的研判，目前部署在移动、联通、电信三大运营商僵木蠕、移动恶意程序检测系统中，日均处理10万级别样本量。