声明：以下文章摘取卡巴斯基原文线索加工而成，若需公关请找卡巴斯基。

先挑大头的说起。

CamScanner，一款可以高清扫描，快速拍摄文件、发票、设计图、笔记、证书、PPT和白板等从而生成PDF或JPEG文件的应用程序，在Google Play上安装次数已超过1亿次。

Google Play情况，最近评分大致说明广告越来越多。

在分析APK后，安全研究员发现该应用中包含恶意dropper组件的广告库。

*Dropper通俗讲是指从一个程序中释放出另一个程序

而以前，在中国制造的智能手机上预装的软件中，经常会发现类似的流氓广告推广模块。

可以假设添加此恶意软件的原因是应用开发者与缺德的广告客户之间的合作关系。黑鸟水印

倒不如说，我们已经默认了，这些已经不是恶意软件，而只是广告SDK？看完分析你就知道，这玩意已经完全符合对于一个恶意软件的定义。

卡巴斯基将此恶意组件的病毒名命名为Trojan-Dropper.AndroidOS.Necro.n。并向Google公司报告了调查结果，目前该应用程序已立即从Google Play中删除。

关于Necro.n的技术细节

当应用程序运行时，应用程序释放的dropper会解密并执行app资源中mutter.zip文件中包含的恶意代码。

接下来，解密名称为“comparison”的配置文件。

解密后，其会使用云端恶意服务器的地址获取以下配置。

而Dropper会从这些URL下载其他模块：

然后执行其代码：

由于该恶意软件可以随时随地的从恶意服务器上下载Payload并加载，因此，该模块的所有者可以以他们认为合适的任何方式，通过这些受感染的设备，投放不同的广告，甚至，不同的恶意代码，简直是留了一个定时炸弹。

有啥广告，恐怕你们比我还清楚。

一个就是，故意弹出广告，这类称为入侵式广告，另一种就是只要你不小心点了，就会直接弹出支付页面，试图让你付费订阅某些服务。

顺便说一个很坑爹的事，一些开了人脸支付的，如果手点这类广告太快，支付宝已经打开人脸识别的界面了，就会很坑的付费，不要问我为什么知道。

而对于这件事，我只有一句话：看广告没问题，你留了个定时炸弹问题就大了。

实际上，从这个域名可见，还有很多安卓应用程序也使用了这个恶意广告模块，但是没有被点名而已。

比如

可以自行查看

https://www.virustotal.com/gui/domain/abcdserver.com/relations

安装了该恶意广告模块的数不胜数，下面的截图仅仅是冰山一角（有点夸大）

毕竟，签订类似协议的APP还有多少我们不得而知，我们只想知道，这类情况如何整治？虽然我知道APP厂商需要盈利然后恰饭，但是投放广告实际上完全可以很合理的投放，而不是通过一个云端的配置，从而下放广告的模式，这无论是对于用户还是监管方，都将存在一个巨大的安全隐患以及风险不可控。

那么，最后这些APP到底和广告商签订了什么协议？

管你那么多，反正我不想自己手机装着一个后门。

IOCs

C&C

https://abc.abcdserver[.]com:8888

https://bcd.abcdserver[.]com:9240

http://cba.abcdserver[.]com:8888

https://bcd.abcdserver[.]com:9240

MD5

7b7064d3876fc3cb1b3593e3c173a1a2

b6656bb8fdfb152f566723112b0fc7c8

等等，外加上面链接里面出现的hash

更多Hash请自行看原文链接

https://securelist.com/dropper-in-google-play/92496/

推荐阅读

大佬分析后表示双尾蝎组织有一个ip与下面这个新组织存在重叠

▲点击图片