移动应用App开发者都面临着如何进行盈利这项不可避免的问题,其中较常见的方法便是在应用中加入广告。广告联盟创建一个函数库,方便开发者能够快速的将广告植入其应用之中。之前强调安装这些使用了IAPs的应用十分危险,因为通常这些应用能够读取发送到用户手机上的所有短信。
当然并非所有基于IAP的SMS应用都会盗取用户的数据,较近分析的Taomike SDK就会捕获短信并将副本发送到淘米客控制服务器,较新的数据表明超过18,000款应用包含这个库。这些应用无一例外都不存在于Google Play应用商店,都是通过第三方应用商店传播。
近期捕获到的许多移动恶意软件样本都会拦截并上传短信,这些应用中大部分都是开发者在第三方托管空间设置了一个命令控制服务器,并且经常更新位置躲避检测。在这些恶意软件中发现很多是由“mobile monetization”公司创建的,这些应用通常都是欺骗用户点击弹出窗口进行安装,用户之后才从电话账单中发现猫腻,反病毒软件通常将此类App识别为恶意软件。
淘米客是一家移动广告解决方案平台,他们提供了一个SDK和服务帮助开发者展示丰富的广告内容,此前淘米客并没有相关的恶意行为,但较近的一次更新中增加了一项盗取短信的功能。并非所有使用淘米客SDK的应用都会盗取用户短信,分析表明,仅有包含嵌入式URL的样本hxxp://112.126.69.51/2c.php有这个功能。这个URL就是上传短信的地址,并且这个IP地址属于Taomike API服务。在捕获的63,000 Android App中就有18,000个应用包含这个盗取短信的功能。
淘米客SDK有许多版本,有些版本中没有包含盗取短信功能也很正常。基于分析的数据,盗取短信这项功能是从8月份的版本开始加入的,所以之前的版本还是安全的。
