多款Android平台恶意APP使用Soraka SDK开发包

2019年12月29日,美国网络安全企业White Ops公司发布报告称发现超过100款具有广告欺诈行为的Android平台恶意APP程序均采用了名为“Soraka”的SDK开发包(包名com.android.sorakalibrary.*),上述恶意APP的下载量已经超过460万次。 White Ops公司研究人员在分析其中一个名为“Best Fortune Explorer”(发布者为JavierGentry80)的典型恶意APP时发现,该恶意APP依赖于一个名为AppsFlyer的框架,该框架用于市场推广统计。该框架会判断该APP是否是人为安装的,如果不是人为安装的,则会显示欺诈广告,否则就不显示。并且还结合了屏幕状态、前后台状态、安装后时间间隔等条件来判断是否显示欺诈广告。在未解锁条件下,恶意APP在后台静默运行,没有任何动作,只有在解锁后的一定时间内才会显示欺诈广告,而且在用户点击Home键后,会显示第二个欺诈广告,再等待用户执行其他操作后,显示第三个欺诈广告。研究人员随即从AppsFlyer框架中发现了Soraka SDK代码,该代码实际上实现了恶意行为执行逻辑,攻击者可以通过网络远程下发指令,设置执行条件和执行任务。