手機「成人影院」套路深：假「草榴」 真騙錢

去年，趨勢科技就檢測到了Marcher木馬的一個新變異的版本，當時黑客是通過電子郵件或發布的色情網站鏈接，來誘導Android用戶下載Marcher的，再將受害者誘導至Google Play官方網站上的X-VIDEO應用（一個色情應用）後，再假冒該應用的Google Play付款頁面，要求受害者輸入付款信息，從而竊取用戶的資料。其實早在這之前，Marcher就通過色情應用攻擊了數百萬韓國用戶。

不過最近，趨勢科技發現了Marcher木馬利用色情應用的新一波攻擊。安全專家們在iOS和Android平台上同時發現了大量使用中文用戶界面的色情應用程序，有些甚至可以App Store上找到。目前已經有大量的潛在有害應用程序 (Potentially Unwanted Apps，PUA)正在通過色情網站、熱門論壇及色情網站來進行傳播。

安裝潛在有害應用程序 (PUA)很可能會危及用戶的隱私和本地系統的安全性，需要說明的是，這些PUA都是合法的應用程序，不過通常會在用戶安裝這些程序時被惡意軟體或廣告軟體所盯上，試圖利用社交工程來使用戶安裝額外的產品和服務。

PUA類的應用程序具有一個或多個違規行為或屬性。如果用戶在進行軟體的安全檢測時發現有安全風險提示，可不一定意味著它就是惡意軟體。但是，如果這類應用是在用戶不知情的情況下安裝到用戶的系統中，則用戶的隱私或系統的安全性可能會遭到泄露或破壞，甚至可以攔截用戶所接受的簡訊。所以在這裡我們建議大家還是開啟應用程序的安全檢測功能。

趨勢科技已經確定，這些色情應用目前正在快速地傳播，並且還根據所傳播的區域進行不同的偽裝。除了色情應用本身的吸引力之外，調查還發現，程序分銷商也在其中起到了推波助瀾的作用， 到目前為止，趨勢科技已經確定了兩個合法的分銷商正在分發數千個這些色情應用程序。有的分銷商只是借著色情的幌子來誘騙用戶下載他們所推廣的應用程序，總之由於色情應用可以激發用戶大量下載程序，所以分銷商為了從推廣中獲利，也會打擦邊球。

攻擊用戶的三個階段

這些色情應用程序的攻擊通常分三步進行：

首先，利用色情網路連接吸引用戶；

其次，偽裝成合法應用，誘導用戶進行程序下載；

最後，當用戶輸入隱私信息後，對這些信息進行盜竊

利用這種辦法可以很輕鬆地允許將一些惡意程序安裝到用戶的應用中，所以為了達到目的，有的分銷商就會從用戶的設備中先收集用戶信息，然後推送用戶喜歡的信息鏈接，當用戶被引導到不同的URL，則會誘導他們下載各種程序。

目前，趨勢科技已經確定了幾個色情網站，它們就利用這些http重定向請求來分發不同類型的色情應用。可以肯定，這種分發方法非常的成功，目前這些應用程序已經廣泛出現在亞洲的不同國家，而且主要是中文區域，因為這些程序的用戶界面語言都是中文的，一下就是色情應用的使用分布圖：

含有下載鏈接的色情網站

ygyl[.]bysun[.]cc

jinm09a[.]eeeeioslyee4[.]pw

woaikanpianyongjiumianfei[.]cc

238-114[.]ffjj-2[.]com

wdfw[.]ksmsmk[.]com

aaaaajbrg[.]cn

mo[.]39lo[.]com

e[.]919cp[.]com

waszyy[.]com

xmxli[.]cesicc[.]org[.]cn

色情應用分析

從收集到的信息中，安全專家注意到，色情應用可以分為幾種不同大類。然後他們將最新收集的色情應用與2016年檢測到的數據進行了比較。發現，2017年第一季度的應用數量約為53萬，比2016年第一季度高出了約10000個。

每種大類下又有各種應用程序，據統計，平均每個大類下有100個不同的應用程序，每個不同的應用程序大約有10萬次傳播量。單在iOS平台，專家們就檢測到大約52000個色情應用程序。

色情應用的分銷商

上文我們簡單的提了一下，很多合法的分銷商為了從推廣應用中獲利，會打色情應用的擦邊球，然後利用用戶的註冊信息再進一步獲取更多的隱私細節。目前已經查明，快播雞年版 (QvodPlay Rooster Version)和快播2017HD版 (QvodPlay 2017 HD Version)中的應用程序由同一家分銷商製作和發行。所有在「春愛影院（SexMovie）」，「幻想影院（DreamMovie）」，「絕密影院（BannedMovie）」大類下的應用程序也是由同一分銷商傳播的。另外，專家們還確認幾個色情應用的附屬站點是由同一個用戶註冊的。

此外，從付款信息中，專家們也發現這幾千個色情應用程序竟然只被兩個人購買了。而這兩個收款人都是獨立的實體，他們之間並無任何聯繫。

iOS平台的色情應用分發

要將色情應用程序放入到App Store，就必須要求該應用的開發者具備合法的D-U-N-S號碼，簡單說，D-U-N-S 是一個9位的企業標識符，一般大企業才有，在註冊D-U-N-S時，開發者必須提供有關其組織的詳細信息，包括營業執照和其他要求以驗證組織身份的信息。從這一點來講，只有合法的開發者才能將自己的產品放入App Store。

雖然看起來似乎非法組織難以在App Store里動手腳，但黑客卻想到了一些辦法來達到自己的目的：

1. 獲得合法公司的D-U-N-S號碼

2. 通過網路釣魚或地下市場獲取企業證書所需的註冊信息

在iOS上的色情應用的開發信息標註的都是幾家知名公司的授權信息，但通過實際調查專家們並沒有發現這些企業開發過這些色情應用程序。所以，可以推測出，分銷商可能會竊取企業信息，並冒充這些公司獲得合法的證書來分發他們的應用程序。例如，同一個大類下的一些色情應用認證信息都是由同一公司的證書籤署的。

對於蘋果公司來說，通過盜竊企業證書來分發惡意軟體並不是什麼新鮮的事情了。其實趨勢科技早在去年年底就寫了一篇關於「惡意開發者是如何應用App Store來分發他們的廣告軟體應用程序」，而這些色情應用程序的開發商的方法和這篇文章里提到的方法非常類似。

如何從色情應用中獲利

如上所述，這些色情應用的主要目的是為了賺錢。通常，這些應用程序會為用戶提供提供一些免費預覽的部分，然後要求等用戶繼續要求觀看時，就必須進行會員註冊。但是，不要以為註冊為會員之後，就能免費觀看了，在用戶註冊完會員後，不斷會有彈窗提示用戶，必須經過付費後才能觀看這些視頻。當然有些應用完全是騙錢的，因為即使付了款，還是無法觀看。

在野外利用中，發現色情程序的惡意行為

到目前為止，這些色情應用的分發與其他可能在用戶安裝合法的應用時附帶的應用，如廣告或色情應用，有些甚至還存在著故意盜竊用戶敏感信息的功能。專家們在野外發現的Android色情應用，就可以做到訪問移動用戶的私人消息、用戶位置、聯繫信息、設備ID和SIM序列號。

與Android不同，在野外發現的iOS色情應用的攻擊性則要小的多，它們更側重於傳播的數量。當用戶安轉這些程序後，這些應用程序將連接到遠程伺服器並請求用戶下載應用程序列表。然後，再將鼓勵用戶點擊進行更多的相關應用程序的安裝。

對於通過欺詐手段獲取企業證書籤署的iOS應用程序，蘋果有一個緩解措施。在啟動應用程序之前，iOS會提示用戶通過「設置」>「常規」>「設備管理」手動來添加信任的企業證書。但是，這樣就有可能存在風險，一旦用戶受信任的這些企業證書被人盜用了，那所有拿該企業證書進行簽名的程序就都成為在默認狀態下，受信任的程序了，這時即使有什麼危險提示，用戶也不會看到。

App Store中iOS色情應用程序的惡意行為

開發和傳播色情應用的組織會不斷嘗試在App Store上進行運行，並努力繞過Apple的審查過程，比如對於這些特定的色情應用程序，其背後的組織可能會利用各種用於偽裝應用程序的方法。到目前為止，專家們已經注意到色情應用總共使用了三種特殊的策略，來把自己偽裝成合法的應用程序：

1. 利用本地配置，

2. 成為「容器」，

3. 使用位置迴避策略。

利用本地配置策略的色情應用，通常會被偽裝成瀏覽器或小遊戲。一旦用戶下載之後，該下載程序就會添加一個快速瀏覽或彈出式按鈕，將用戶重定向到色情網站，並吸引人們安裝色情應用。

然後這些色情應用程序會將用戶重定向到的色情網址直接存儲在位置文件中或隱藏在plist文件中的一段JavaScript代碼中，如下圖所示。

除了內置色情網站網址的應用程序外，還有許多嵌入色情搜索工具的應用程序，如歌曲類應用程序。

在成為「容器」的策略如下，應用程序首先從遠程伺服器請求plist配置文件，一旦被用戶下載，惡意行為就會開始運行，更改用戶的默認值。作為從遠程伺服器獲得內容的「容器」，該內容可能包括色情網站的鏈接，這樣用戶就能被引導到有更多鏈接應用程序的界面，甚至色情搜索工具。

上圖顯示了由「dmoe[.]cn」管理的應用程序的代碼，當該應用啟動後，用戶就將被重定向到伺服器返回的特定站點。在下面這個案例中，用戶會鏈接到一個名為「草榴社區」的色情網站。該網站的登陸頁還詳細羅列了各種色情資源。此外，該網站自動將用戶重定向到App Store以下載另一個色情應用，不過目前該應用程序已被蘋果刪除。

所提到的最後一個偽裝策略涉及利用用戶的位置信息，如果用戶是在斷網狀態或在特定國家或地區訪問，則該色情應用程序就會將自身偽裝成合法的安裝。在下圖所示的案例中，我們可以看到，在特定區域，色情應用突然顯示為「報價和語音應用」。不過，在這些區域以外，該應用程序就將會重新開始傳播色情應用。

在此方法下，這些應用程序可以使用識別IP來源的第三方IP服務，或者從用戶設備獲取移動國家代碼（MCC）和移動網路代碼（MNC）信息。然後其背後的組織就會利用位置信息來嘗試繞過蘋果的審查過程，以便通過更嚴格的應用程序規則來偽裝自己。

如上所述，這些應用程序會從遠程伺服器請求其他色情應用的URL。不過，這些URL會不斷地進行更改，下圖就顯示了這些應用程序是如何繼續傳播的。

從以上這個三個方法我們可以看出，這些色情應用的開發人員更願意把時間和資源花費在規避蘋果的審查流程上，這樣就能分發越來越多的應用程序以獲得更大的利潤。趨勢科技，目前只確定了這三種方法，但以後會不會出現更多的辦法就不一定了。

雖然這些色情應用並不是什麼惡意程序，所以分銷商就可以使用非法的手段獲得企業證書並偽裝成合法企業的應用。他們還使用位置迴避策略，收集用戶信息，訪問Android設備上的私人通信，以及通過詐騙的色情視頻來欺騙用戶的錢。

趨勢科技的調查顯示，目前這幾種辦法的主要影響區域在亞洲國家，而且傳播趨勢異常猛烈。不過，目前專家們僅發現了兩個分銷商在這麼干，但是他們管理了一個跨越亞洲甚至歐洲的大規模運營。

目前色情內容仍然是詐騙手段中常用的一種方法，且仍然是攻擊移動用戶的熱門工具。

我們建議用戶在從第三方應用商店下載應用程序時一定要謹慎，當你選擇從這些程序的站點下載時，你會很容易將自己暴露在各種安全威脅（如這些色情應用）中。

本文翻譯自PUA Operation Spreads Thousands of Explicit Apps in the Wild and on Legitimate App Stores - TrendLabs Security Intelligence Blog，如若轉載，請註明原文地址：tApp Store里的色情應用生態：偽裝、誘導付費、竊取你的隱私信息 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：