Android.MagicAd 木马无视所有限制强行显示广告

Hot news | Threats to mobile devices | Doctor Web公司新闻 | 病毒新闻

Doctor Web公司反病毒实验室专家发现了一种木马程序,命名为 Android.MagicAd 。这种新木马能以多种方式绕过 安卓操作系统的限制,后台运行显示广告。其中一种方法为通用,其他方法则针对特定厂商的设备。这些方法包括利用第三方应用程序以及使用系统媒体播放器。

Android.MagicAd.1 通过小米设备官方应用商店 GetApps传播,隐藏在超过50款不同的游戏和程序中。这些应用在商店中出现的时间很短,通常不超过一个月,随后便会消失,并被新的应用取代。攻击者可能试图以此方式让 Android.MagicAd.1 不易被过早发现,同时又保持其活跃性:从商店下架后,木马程序仍会留在用户设备上,并可能继续执行恶意活动。目前,我们侦测到的所有包含 Android.MagicAd.1 的应用均已无法从 GetApps 目录下载,而传播这些木马的开发者也已不再发布内置该木马的新程序。

我公司病毒分析师进行的研究表明,Android.MagicAd.1 的最初版本出现于2025年,并且除了 GetApps 目录外,也曾出现在三星的 Galaxy Store 。

#drweb #drweb

GetApps 目录隐藏 Android.MagicAd.1 的游戏和程序示例。本新闻发布时,这些木马变种及其他版本均已无法下载

Android.MagicAd.1 的部分恶意功能位于 dex 模块,这些模块隐藏在木马文件资源目录下加密的本地库,运行过程中会解密库,从中提取自身组件后启动。

在开始显示广告之前,木马会执行一系列检查,以确保其运行环境安全。例如,木马会寻找在虚拟环境中运行的迹象,检查其安装是否是由用户主动进行,被感染设备的 IP 地址是否在其黑名单中等等。

如果 Android.MagicAd.1 未发现可疑活动,就会隐藏自己在主屏幕程序列表中的图标。然后会创建一个通知渠道,通过该渠道启动多个恶意常驻服务,以便在恶意应用窗口关闭后在后台运行。接下来Android.MagicAd.1 会通过任务调度程序创建一个任务,定期重启那些检查通知渠道运行状态并在必要时重新启动通知渠道的服务。此外,在安卓操作系统版本相对陈旧的设备,木马会启动一个虚拟屏幕,以防止其组件运行被系统中断。

为了达到在窗口关闭后以后台模式显示广告的目的,Android.MagicAd.1 会采用一系列针对受感染设备具体厂商的方法。应用这些方法的无需明确请求系统权限SYSTEM_ALERT_WINDOW,也就是覆盖其他程序显示的权限。

无论采用哪种方法,所有广告横幅都以半透明活动(Translucent Activity)形式加载,让木马能够将其显示在现有窗口之上。

#drweb #drweb #drweb #drweb

Android.MagicAd.1所显示广告的示例

还又一种方法通过向其他应用程序发送意图(Intent)来实现。这种方法让木马能够绕过安卓操作系统较新版本禁止程序自行启动的限制。取决于受感染设备的型号,Android.MagicAd.1通过此技术自行显示广告,或者直接"迫使"目标应用程序显示广告横幅。

使用这种方法的一个木马变种的目标应用是:

  • 小米设备上的 Mi Browser 浏览器;
  • 小米设备上的 Miui SystemUI 图形界面;
  • 亚马逊 TV 设备上的 Amazon Fire TV Home Screen 启动器。

这些都是相应设备上的系统应用程序,因此即使未被用户直接启动,也能处理意图。只要这些程序处于活动状态并能接收意图,Android.MagicAd.1 就可以利用其显示广告。

而且如果小米设备的 Mi Browser不是系统应用,木马也同样可以利用这个浏览器来显示广告,直到浏览器窗口被关闭。

Android.MagicAd.1 在相应设备发现 Mi Browser 后就会向自己的 dex 组件(Dr.Web将其侦测为 Android.MagicAd.1.origin)发送一个延迟意图来启动广告。该组件会根据这个延迟意图生成自己的意图并传递给浏览器,浏览器再从中提取原始意图,并据此启动广告。

与另外两个程序的交互方式则略有不同,是被用来从后台模式唤醒木马。首先,Android.MagicAd.1Android.MagicAd.1.origin 模块发送一个用于启动广告的延迟意图,该模块再向目标程序传递一个用于唤醒自身的意图。如果目标是 Miui SystemUI,会响应并发送自己的意图来启动该模块。如果目标是 Amazon Fire TV Home Screen,会直接按数据包名称启动该模块。获得控制权后,Android.MagicAd.origin 模块就会显示从主恶意应用延迟意图中收到的广告。

如果无法通过这种方式显示广告,木马会再尝试两次,如果仍然失败,则会尝试直接显示广告,不再使用延迟意图和其恶意 dex 模块。

这种方法的另一个变种与上一个类似,利用的是 Vivo 设备上的程序。不同之处在于,广告的启动是通过 Android Binder完成(一个负责进程间通信的系统组件)。在这种情况下,木马的目标是以下系统程序:

  • iManager
  • 电话簿
  • Vivo 浏览器
  • 百度输入法

Android.MagicAd.1 通过 Android Binder来启动这些应用,通过 Parcel 数据容器发送普通意图。然后这些程序就会启动木马组件 Android.MagicAd.origin,而组件以后台模式激活后便会显示广告。

Android.MagicAd.1 还设计了其他几种在后台运行时显示广告的方法,其中包括使用媒体播放器。与针对特定设备的方法不同,为通用方法,适用于来自不同制造商的绝大多数型号。Android.MagicAd.1 会从自身程序中解密出一个音频文件,并将其保存到工作目录。然后,恶意程序启动一个系统媒体播放器实例,在其中设置最小音量,并将其与安卓操作系统的全局多媒体管理系统关联。接着, Android.MagicAd.1 会设置一个广播接收器,监听其按下操作。然后,木马通过一条特殊的 adb 命令模拟用户操作,按下播放器中的录音按钮,之后会立即关闭其窗口。按下按钮会触发系统媒体接收器,使得 Android.MagicAd.1 能够截获控制权并启动广告。

Dr.Web Security Space移动设备版能够可靠侦测并删除所有恶意程序 Android.MagicAd.1已知版本,因此该木马不会对我们的用户构成威胁。

失陷指标

Android.MagicAd.1 更多详情

Android.MagicAd.1.origin 更多详情

0
最新新闻 全部新闻