假冒的CCleaner手机应用程序潜入中国百度应用商店 – Avast

旋风加速器官网服务中心

假冒 CCleaner 应用程式夹带广告软体

近期,Avast 发现一款新的假冒行动版 CCleaner 应用程式在中国百度应用商店(百度手机助手)上架,并标示为 官方版

这引起了我们的注意,因为 Avast 目前并未在百度应用商店上发布任何官方版本的 CCleaner 应用程式,而故事就此展开。

百度应用商店

在网页上,你可以清楚地看到这个假冒 CCleaner 应用程式的描述,试图骗取用户下载。它被标示为 官方版
,并且还有中文标题,使其在百度应用商店看起来似乎是正规的。然而,有一个明显的错误是它被错误地分类为「办公学习」(办公学习工具)。另一个警示是它收到的评分很低,而在全球其他应用商店中,CCleaner的评分都是很高的。

1-fake-app-in-baidu

假冒应用程式在百度应用商店

使用 apklab.io 分析假冒应用程式

透过 Avast 最新的行动 智能平台
,研究人员可以轻易辨别这个假冒应用程式与真实的 CCleaner应用程式之间的差异,而不需要逆向工程该应用程式。

比较基本的应用程式元资料

首先,你可以快速注意到两件事情:1)假冒应用程式使用了不同的应用名称(CCleaner垃圾清理)和包名(com.star.ccleaner);2)假冒应用程式中引入了四个额外活动和一个额外服务。

假冒应用程式的元资料(上图)

3-manifest-genuine

真实应用程式的元资料(上图)

另外,假冒 CCleaner 应用程式是由一份泄漏的凭证签名,如下所示。

你还可以看到,apklab.io 提供的档案信息显示假冒应用程式的哈希值和档案大小都与真实 CCleaner 应用程式有所不同。

假冒应用程式的 AndroidManifest.xml 附加了额外的元数据,如下所示:

7-additional-meta

假冒 CCleaner 应用程式的功能是什么?

假冒 CCleaner 应用程式利用真实 CCleaner 应用程式 4.11.1的良好品牌声誉,将其重新包装以包含广告软体,从而积极从中国大陆用户身上获利。

更深入的分析

使用 静态分析工具,可以看到假冒 CCleaner 应用程式与真实
CCleaner 应用程式之间的其他差异。研究人员可以轻松跳转到感兴趣的部分。

下面是额外封装库的摘要。

  • Umeng – 中国移动应用分析提供商
  • Tencent 广告平台 – 腾讯广告
  • 包名:com.qq.e
  • https://e.qq.com/ads/
  • Tencent 浏览服务 – 腾讯浏览服务(透过 Tencent 的 WebView 包装)
  • 包名:com.tencent.smtt, com.tencent.tbs
  • https://x5.tencent.com/
  • U8SDK – 中国游戏应用平台
  • 包名:com.u8.sdk
  • http://www.6xsdk.com/
  • com.pay.sdk – 未知的支付 SDK
  • com.erong – 未知的支付 SDK

用 分析的有趣部分

你还可以看到,假冒 CCleaner 应用程式中有很多真实 CCleaner 应用程式所不存在的新部分。

随后是重新包装的库新实现。

14-get-running-tasks
16-running-app- processes
17-loads-data-from- assets
18-overlay-to- apps
19-uses- encryption
20-libraries

由封装库引入的其他字串

22-additional- strings-2

针对中国市场的定位

运行这款假冒应用程式时,最初会显示一些广告,但随后就会卡顿。因此,用户虽然可以运行它,但它并不完全可用。这款假冒应用程式很可能只在中国本土的设备上以及中国的网络环境中良好运行。

用户该怎么做?

在撰写本文时,我们发现百度是唯一一个发布这款假冒 CCleaner应用程式的应用商店。我们不确定这款应用程式是否会持续尝试在其他商店或市场上架,但这是有可能的。

虽然我们未观察到这款假冒应用程式的 root 或
行为,我们仍强烈建议用户立即卸载这款假冒应用程式。

尽管中国大陆无法访问 Google Play,我们相信一些通用的规则仍然可以帮助用户避免安装假冒应用程式。

  • 检查用户评论
    用户在下载应用程式前,应该始终阅读正面和负面的评论。即使一款应用程式有正面评价,通常仍然可以判断这些评论是诈骗还是真实的;可疑的正面评论可能是该应用程式不值得信任的迹象。

  • 检查发布者名称
    名称通常能告诉你很多事情。CCleaner 绝不会有一个由非 CCleaner 开发的应用上架。

  • 检查应用许可权
    另一个重要的步骤是仔细检查应用请求的许可权。如果某款应用请求的许可权不合理,并且看起来对应用的正常运行并不必要,用户应该在下载前三思而行。

  • 检查类别
    查看应用是否在适当的类别中。如果不合适,那可能是一个警示信号。

  • 检查描述
    应用的性能和承诺似乎过于夸大吗?如果过于承诺,则需谨慎。

  • 一旦发现任何异常行为,立即卸载应用

Avast 已经联系百度应用商店,要求将这个假冒应用程式移除。

分析的档案

假冒| com.star.ccleaner|
db60d8a67057a9ee760c556575dd38206f430f5bca758dacdd4edbac6abeb98a
—|—|—
真实| com.piriform.ccleaner|
c7e92d7fa29ad8477dfed133b6e8d67233e575577673e6ce03ec5f3a8e24065a

百度应用链接: https://shouji.baidu.com/software/25583524.html

关于后续更新

我们发现另外两个中国应用商店也发布了这款假冒应用。一个是腾讯主办的(应用宝),另一个是 360 主办的(360手机助手)。

不法分子使用了不同的应用图标和应用名称的组合来让用户相信这些是官方的 CCleaner 应用,特别是对于对真实 CCleaner应用不熟悉的中国大陆用户来说。

腾讯应用商店(应用宝)

24-360-app-store

360 应用商店(360手机助手)

新的妥协指标

在腾讯应用商店(应用宝)中,有一个出版社名为
河北三特网络科技有限公司。关于这家公司没有进一步的信息,但用户可以在下载应用时将其视为新的妥协指标(Indicators of Compromise)。

我们正在联系这两家应用商店以要求移除这些假冒应用。

新链接分析

腾讯: https://sj.qq.com/myapp/detail.htm?apkName=com.star.ccleaner

360:
http://zhushou.360.cn/detail/index/soft_id/4027163?recrefer=SE_D_com.star.ccleaner

标签:,,,,

分享:XFacebook

Leave a Reply

Your email address will not be published. Required fields are marked *