假冒 CCleaner 应用程式夹带广告软体

近期，Avast 发现一款新的假冒行动版 CCleaner 应用程式在中国百度应用商店百度手机助手上架，并标示为 官方版。

这引起了我们的注意，因为 Avast 目前并未在百度应用商店上发布任何官方版本的 CCleaner 应用程式，而故事就此展开。

百度应用商店

在网页上，你可以清楚地看到这个假冒 CCleaner 应用程式的描述，试图骗取用户下载。它被标示为 官方版，并且还有中文标题，使其在百度应用商店看起来似乎是正规的。然而，有一个明显的错误是它被错误地分类为办公学习办公学习工具。另一个警示是它收到的评分很低，而在全球其他应用商店中，CCleaner 的评分都是很高的。

假冒应用程式在百度应用商店

使用 apklabio 分析假冒应用程式

透过 Avast 最新的行动 威胁 智能平台 apklabio，研究人员可以轻易辨别这个假冒应用程式与真实的 CCleaner 应用程式之间的差异，而不需要逆向工程该应用程式。

比较基本的应用程式元资料

首先，你可以快速注意到两件事情：1假冒应用程式使用了不同的应用名称CCleaner垃圾清理和包名comstarccleaner；2假冒应用程式中引入了四个额外活动和一个额外服务。

假冒应用程式的元资料上图

真实应用程式的元资料上图

另外，假冒 CCleaner 应用程式是由一份泄漏的凭证签名，如下所示。

你还可以看到，apklabio 提供的档案信息显示假冒应用程式的哈希值和档案大小都与真实 CCleaner 应用程式有所不同。

假冒应用程式的 AndroidManifestxml 附加了额外的元数据，如下所示：

假冒 CCleaner 应用程式的功能是什么？

假冒 CCleaner 应用程式利用真实 CCleaner 应用程式 4111 的良好品牌声誉，将其重新包装以包含广告软体，从而积极从中国大陆用户身上获利。

更深入的分析

使用 Apklabio 静态分析工具，可以看到假冒 CCleaner 应用程式与真实 CCleaner 应用程式之间的其他差异。研究人员可以轻松跳转到感兴趣的部分。

下面是额外封装库的摘要。

用 apklabio 分析的有趣部分

你还可以看到，假冒 CCleaner 应用程式中有很多真实 CCleaner 应用程式所不存在的新部分。

随后是重新包装的库新实现。

由封装库引入的其他字串

针对中国市场的定位

运行这款假冒应用程式时，最初会显示一些广告，但随后就会卡顿。因此，用户虽然可以运行它，但它并不完全可用。这款假冒应用程式很可能只在中国本土的设备上以及中国的网络环境中良好运行。

用户该怎么做？

在撰写本文时，我们发现百度是唯一一个发布这款假冒 CCleaner 应用程式的应用商店。我们不确定这款应用程式是否会持续尝试在其他商店或市场上架，但这是有可能的。

虽然我们未观察到这款假冒应用程式的 root 或 勒索软体 行为，我们仍强烈建议用户立即卸载这款假冒应用程式。

尽管中国大陆无法访问 Google Play，我们相信一些通用的规则仍然可以帮助用户避免安装假冒应用程式。

检查用户评论用户在下载应用程式前，应该始终阅读正面和负面的评论。即使一款应用程式有正面评价，通常仍然可以判断这些评论是诈骗还是真实的；可疑的正面评论可能是该应用程式不值得信任的迹象。

检查发布者名称名称通常能告诉你很多事情。CCleaner 绝不会有一个由非 CCleaner 开发的应用上架。

检查应用许可权另一个重要的步骤是仔细检查应用请求的许可权。如果某款应用请求的许可权不合理，并且看起来对应用的正常运行并不必要，用户应该在下载前三思而行。

检查类别查看应用是否在适当的类别中。如果不合适，那可能是一个警示信号。

检查描述应用的性能和承诺似乎过于夸大吗？如果过于承诺，则需谨慎。

一旦发现任何异常行为，立即卸载应用

Avast 已经联系百度应用商店，要求将这个假冒应用程式移除。

分析的档案

假冒 comstarccleanerdb60d8a67057a9ee760c556575dd38206f430f5bca758dacdd4edbac6abeb98a真实 compiriformccleanerc7e92d7fa29ad8477dfed133b6e8d67233e575577673e6ce03ec5f3a8e24065a

百度应用链接 https//shoujibaiducom/software/25583524html

关于后续更新

我们发现另外两个中国应用商店也发布了这款假冒应用。一个是腾讯主办的应用宝，另一个是 360 主办的360手机助手。

不法分子使用了不同的应用图标和应用名称的组合来让用户相信这些是官方的 CCleaner 应用，特别是对于对真实 CCleaner 应用不熟悉的中国大陆用户来说。

腾讯应用商店应用宝

360 应用商店360手机助手

新的妥协指标

在腾讯应用商店应用宝中，有一个出版社名为 河北三特网络科技有限公司。关于这家公司没有进一步的信息，但用户可以在下载应用时将其视为新的妥协指标Indicators of Compromise。

我们正在联系这两家应用商店以要求移除这些假冒应用。

新链接分析

腾讯 https//sjqqcom/myapp/detailhtmapkName=comstarccleaner

360http//zhushou360cn/detail/index/softid/4027163recrefer=SEDcomstarccleaner

标签：altstore，analysis，Android，fakeapp，mobile

分享：XFacebook