多款Android平台恶意APP使用Soraka SDK开发包

2019年12月29日，美国网络安全企业White Ops公司发布报告称发现超过100款具有广告欺诈行为的Android平台恶意APP程序均采用了名为“Soraka”的SDK开发包（包名com.android.sorakalibrary.*），上述恶意APP的下载量已经超过460万次。 White Ops公司研究人员在分析其中一个名为“Best Fortune Explorer”（发布者为JavierGentry80）的典型恶意APP时发现，该恶意APP依赖于一个名为AppsFlyer的框架，该框架用于市场推广统计。该框架会判断该APP是否是人为安装的，如果不是人为安装的，则会显示欺诈广告，否则就不显示。并且还结合了屏幕状态、前后台状态、安装后时间间隔等条件来判断是否显示欺诈广告。在未解锁条件下，恶意APP在后台静默运行，没有任何动作，只有在解锁后的一定时间内才会显示欺诈广告，而且在用户点击Home键后，会显示第二个欺诈广告，再等待用户执行其他操作后，显示第三个欺诈广告。研究人员随即从AppsFlyer框架中发现了Soraka SDK代码，该代码实际上实现了恶意行为执行逻辑，攻击者可以通过网络远程下发指令，设置执行条件和执行任务。