导读:A.I.type虚拟键盘是由ai.type公司开发的一款可定制的移动设备屏幕键盘应用程序,允许终端用户根据个人喜好定制键盘。它还会随着时间的推移“学习”用户的写作风格,预测常用的单词和短语来加快写作速度。然而这款当下十分流行的虚拟键盘应用,在没有得到用户同意的情况下,通过模拟点击购买高级付费服务。
一份来自国外Secure-D实验室的报告称:”AI试图进行1400多万笔未经授权的交易,这些交易可能会给用户带来1800万美元的不必要费用”。这些试图购买服务的请求来自13个国家的11万**立设备。非法活动在今年7月达到顶峰,并持续了两个月。Google Play于今年7月份正式将该应用下架。
通过搜索发现大量应用商店仍存在该应用。为了及时止损,避免更多用户遭受财产损失。暗影安全实验室特出此报告,提醒用户谨慎下载使用该软件。
一、样本信息
MD5:E3F0CF482181E42D5A95CF480206F50F
包名:com.aitype.android
安装名称:A.I.type键盘
安装图标:
二、技术分析
(1)该应用程序主要使用软件开发工具包(sdk)向用户订阅高级服务。主要包含以下几个包:
.com.holly.marge
.com.mb.num
.com.bear.data
.defpackage
这些sdk通过一系列重定向来导航到广告服务。
图2-1 重定向URL请求
其中com.mb.num包中加载的目标是 MTN Gamer plus Service - 一个移动游戏平台。
图2-2 游戏平台硬编码链接
通过调用javascript代码,实现模拟点击并自动订阅付费服务。
图2-3 模拟点击
它会在后台静默打开如下页面:
图2-4 广告服务页面
而在com.holly.marge包中,则试图在后台使用JavaScript下载广告。
图2-5 获取的javascript代码
在未经过用户的同意下,模拟点击广告。
图2-6 模拟点击服务
三、广告服务器地址
表3-1 广告服务器地址分布
服务器地址 | 分布区域 |
---|---|
http://tra***ink.leadmoboffer.com | 新加坡 |
http://orz.m***ab.net | 中国香港 |
http://ga***lus.mtn.co.za | 南非 |
四、应用危害
A.I.type键盘的流行被用来掩盖执行违规行为。在用户不知情的情况下在后台执行模拟点击广告和订阅付费服务的操作。虽然该活动部分针对的是广告商,但它在以下几个方面影响了用户。
(1)在后台模拟点击频繁访问其它网站会造成用户移动流量的损耗。
(2)订阅付费服务会造成用户财产的损失。
(3)频繁的后台操作可能会使设备过热,减少电池寿命,影响其整体性能。
五、安全建议
如果你的设备已下载该应用,建议卸载。并审查设备上是否存在服务订阅短信。如存在请马上退订。
坚持去官网下载正版软件,避免从论坛下载软件,可以有效的减少该类恶意软件的侵害。
关注”暗影安全实验室”公众号,获取最新实时移动安全状态,避免给您造成损失和危害。
安装好杀毒软件,能有效的识别已知的病毒。
文中部分图片引用至国外报告:
https://www.welivesecurity.com/2019/11/05/android-keyboard-app-caught-redhanded-sneaky-purchases/。
*本文作者:暗影安全实验室,转载请注明来自FreeBuf.COM