02 youtube軟件下載apk文件打包成(為什么Android系統應用更新不是讓新apk替換進入/system分區)

明，這種威脅背后的網絡犯罪分子仍然在積極誘騙用戶安裝這些虛假應用程序。

所有這些攻擊都依賴針對東南亞和中亞地區用戶的收費欺詐app，并使用幾乎相同的文字和圖片來欺騙用戶訂閱付費服務。三個攻擊行動的其他潛在關聯表明，所有應用都可能來自同一個攻擊組織。例如，所有攻擊的應用都使用與調試日志標記相同的字符串：

圖16.用作日志標記的“SonLv”字符串出現在所有的攻擊中

在包和類名稱以及使用通用框架（telpoo.frame）執行典型任務（如數據庫，網絡和接口支持）方面也存在顯著的相似性：

圖17.所有攻擊中的常見包名和類名

最后，Google Play攻擊中的app使用域名vilandsoft[.]買粉絲來檢查更新。虛假安裝程序活動中的應用程序也使用相同的域名來提供遠程執行命令，例如action_sendsms：

圖18.一個虛假安裝程序檢查action_sendsms命令

下述時間表標識了我們找到的該組織的攻擊行動，誘騙用戶安裝應用、分發方式、主要payload和目標國家的策略：

圖19. Sonvpay活動的時間表

Sonvpay行動是AsiaHitGroup網絡犯罪分子如何不斷調整策略，誘騙用戶訂購收費服務并提高利潤的一個例子。這些攻擊從2016年底開始，用非常簡單的虛假安裝程序，向用戶收取流行應用程序副本的費用。2017年底，Google Play應用濫用WAP收費服務，并使用IP地址地理位置定位特定國家/地區。 2018年，Google Play應用使用無聲背景推送通知來觸發顯示偽造的更新消息并收集移動收費欺詐數據。我們預計網絡犯罪分子將繼續開發和分發新的收費欺詐，瞄準更多的國家并影響全球更多的用戶。

網絡犯罪分子總是追逐金錢，而從用戶那里竊取金錢的最有效方法之一就是通過收費欺詐。例如，受害者可能不會注意到欺詐性收費，因為收費的信息直到月底才會出現在移動賬單上。即使提前發現付款，大部分情況都是訂閱收費而非一次性付款。因此，受害者需要找到一種方法來取消訂閱付費服務。但如果訂閱是悄無聲息的發生，或者如果應用程序不提供該信息，這可能并不容易分別。此外，WAP收費欺詐不需要將SMS消息發送到付費號碼使得更容易提交。網絡犯罪分子只需要通過強制他們加載WAP收費服務頁面并點擊按鈕來靜默訂閱用戶。由于這些原因，我們預計移動收費欺詐將繼續針對Android用戶。

McAfee Mobile Security將此威脅檢測為Android/Sonvpay。為了保護自己免受此類和類似威脅，請在移動設備上使用安全軟件，在Google Play上檢查應用的用戶評論，并且不要在應用打開后立即接受或信任通過SMS消息要求付款功能的任何互動。

為什么Android系統應用更新不是讓新apk替換進入/system分區

這里涉及到兩個問題：odex和第三方制作的Gapps刷機包

買來一個android設備，沒有root前都是這樣子的：

只要不是內地的android設備基本都會搭載google提供的一系列android手機的應用，大家會叫它Gapps,GMS什么的。這一批應用包含了表面的從gmail到youtube到play service到背后的公共用途的軟件包，以及很多framework和本地代碼動態運行庫及其它內容。

當然其中大部分可執行代碼都以dex這種可以由dalvik這個java虛擬機執行的的形式存在，具體的說，是以odex的形式存在。

dalvik在運行dex之前，需要做一系列驗證，確保dex里頭的代碼是符合規范，是能安全執行的，dalvik做完檢查后，將dex做一些處理(比如調整，加校驗位等)，就變成了odex。實際上在dalvik里頭運行的是odex。

所以，正式發售的設備的內置應用程序，都是以***.apk加上同名的***.odex存在的。

因為這種機制，把一對apk/odex放到另一臺不同(具體)型號的設備里是沒法運行的。

而google不允許包括CM在內的第三方rom里內置Gapps。Gapps是收費的私有軟件。

所以，目前想到的辦法是借助smali等開源工具做deodex，將odex轉化成可以通用的dex。這樣重新打包了Gapps后，才能作為刷機包塞到別的設備中

-----------------------------------

google會不會對gapps進行升級？

顯然是的，一部分的升級會通過play store進行，比如更新play store本身，裝一個google play service(這個apk實際上是一個供第三方應用程序的API合集，有了它才能在第三方應用中使用google maps的矢量地圖，通過google+登陸等項目)

另外一部分則要通過設備的OTA做，因為這個更新實在太大了，同一個手機，從android4.0升級到android4.1時，可能每一個Gapps的文件都需要替換，而且android安裝應用程序的機制說到底只能改變apk文件，但它動不了framework，library，所以這些東西的更新需要借助OTA等通過bootloader許可直接修改system分區的手段

在第三方打包好的gapps里就能發現，gapps有很多很多的版本

我覺得刷gapps的原則是，首先gapps要適配設備當前android的大版本，給4.1用的gapps就不應該刷到4.0系統里，使用intel處理器的尤其要注意，這個gapps是不是給x86設備的，Z24x0/27x0只能有限度地翻譯arm代碼，把arm設備的gapps給x86設備用，可能會導致系統根本無法啟動；然后越新打包出來的gapps問題可能會越少。

mcafee顯示您已脫機怎么處理？

McAfee Mobile Research團隊發現了一個新的收費欺詐行動，2018年在Google Play上至少發布了15個應用。根據Android Security 2017 Year in Review.，電話欺詐（包括WAP billing 欺詐）是Google Play上的主流的有害應用。這項新的行動表明，網絡犯罪分子不斷尋找新的方式，利用官方商店（如Google Play）上的應用盜取受害者的錢。

AsiaHitGroup Gang至少從2016年底開始活躍，分發虛假安裝應用程序Sonvpay.A，試圖向泰國和馬來西亞的至少20,000名受害者收取下載受歡迎應用程序副本的費用。一年后，2017年11月，Google Play上發現了一項新的活動，Sonvpay.B使用IP地址地理位置確認受害國的國籍，并將俄羅斯受害者添加到WAP收費欺詐中，從而增加從毫無警惕的用戶身上竊取資金的可能性。

2018年1月，AsiaHitGroup團隊利用重新打包的應用程序Sonvpay.C重返Google Play，該應用程序使用背景推送通知觸發虛假更新對話框。當受害者開始“更新”時，他們會訂閱高級付費服務。訂閱主要通過WAP收費進行，不需要將SMS消息發送到付費電話號碼。相反，只需要用戶使用移動網絡訪問特定網站并自動點擊按鈕即可啟動訂閱流程。根據Google Play的大致安裝次數，優質服務訂閱的費用以及這些應用可用的日期，我們估計自1月份以來，AsiaHitGroup Gang大致賺取了\$ 60,500- \$ 145,000。

McAfee Mobile Research團隊最初在Google Play上發現了如下重新打包的Sonvpay應用程序，所有這些應用程序都在今年發布：

圖1.在Google Play上找到的Sonvpay應用程序

我們于4月10日通知了Google，這些應用立即被刪除了。幾天后，應用程序“Despacito for Ringtone”再次在商店被發現，但很快被刪除。自從2018年1月在Google Play上發布第一個應用程序Cut Ringtones 2018以來，我們共發現了15個應用程序，總安裝次數超過50,000次。下表列出了15個惡意應用程序：

在下載時，用戶可能注意到的唯一預警標志是該應用程序需要訪問SMS消息。一旦安裝并執行，應用程序的功能是正常的（QR 買粉絲de reader, ring tones等）。但是，在后臺用戶不知情的情況下，Sonvpay會偵聽傳入推送通知，其中包含執行移動收費欺詐的數據。

Sonvpay采用oneignal推送通知服務獲取信息啟用訂閱用戶付費服務。為了在不顯示通知的情況下在后臺接收數據，Sonvpay采用了“onNotificationProcessing”方法并返回“true”以使通知保持靜默：

圖2.無聲背景通知

接收到的數據與假更新通知一并執行WAP和SMS欺詐。重新封裝的應用使用一段時間之后向用戶顯示假更新信息。這個假通知只有一個假按鈕。如果用戶滾動到結尾，則出現誤導性短語“點擊跳過同意”：

圖3.偽更新通知

如果用戶點擊唯一的按鈕，Sonvpay將完成其工作。但是，即使沒有與此窗口進行交互，如果推送通知中的“price”值為空，Sonvpay仍會繼續訂閱付費服務：

圖4.如果“price”值為空，則啟動移動收費欺詐

從靜默推送通知中獲得的參數之一是請求執行移動收費欺詐功能的URL。一旦顯示偽更新通知，Sonvpay會請求從另一個遠程服務器下載該庫：

圖5. Sonvpay請求提供額外功能的庫文件

新的APK文件被下載并存儲在/sdcard/Android/<package_name>/cache/路徑中，以便可以在運行時動態加載和執行。我們獲取的執行移動收費欺詐的庫僅針對哈薩克斯坦和馬來西亞，但由于該庫位于遠程服務器中，并且可以動態加載，因此它可能隨時更新以鎖定更多國家或移動運營商。

在哈薩克斯坦，Sonvpay會加載通過靜默推送通知傳遞的特定買粉絲，并使用JavaScript點擊“激活”按鈕來欺騙用戶訂閱付費服務：

圖6.哈薩克斯坦的WAP收費欺詐

在馬來西亞，惡意軟件會創建一個新的WebView，將“Short買粉絲de”和“Keyword”參數發送到特定的URL，促使用戶訂閱WAP付費服務：

圖7.馬來西亞的WAP收費欺詐

但是，在馬來西亞，app需要攔截移動運營商通過SMS發送的PIN碼。Sonvpay在重新打包的應用程序中實現了SMS攔截功能：

圖8.處理截獲的SMS消息以獲取PIN

一旦獲得PIN碼，它就會通過網絡請求發送給移動運營商，以自動確認訂閱。如果哈薩克斯坦或馬來西亞的參數不匹配，Sonvpay仍嘗試通過將SMS消息發送至靜默推送通知提供的付費號碼來執行移動收費欺詐：

圖9.將SMS消息發送到付費電話號碼的函數

在2018年攻擊活動中進行模式匹配時，我們找到了應用程序DJ Mixer-Music Mixer。只要此應用程序執行，它會檢查設備是否具有Inter買粉絲連接。如果設備處于脫機狀態，則應用程序將顯示錯誤消息“請您連接到互聯網以繼續”并結束。如果設備處于在線狀態，則應用程序會執行針對特定買粉絲的we

很赞哦!（4936）