掘金2022:手游用户留存与高效转化秘籍
快出海  > 出海资讯  >  Google Play十周年,恶意软件泛滥问题仍悬而未决

Google Play十周年,恶意软件泛滥问题仍悬而未决

来源:FreeBuf
作者:Zicheng
时间:2022-08-02
2012年7月26日,谷歌将Android Market重新命名,变为如今大家耳熟能详的Google Play。作为整个安卓系统最重要、最为官方的应用下载市场,10年来,Google Play已经服务了来自全球190多个国家地区的25亿用户。但正所谓树大招风,Google Play也早已被众多恶意软件盯上,成为它们的集散中心。

2012年7月26日,谷歌将Android Market重新命名,变为如今大家耳熟能详的Google Play。作为整个安卓系统最重要、最为官方的应用下载市场,10年来,Google Play已经服务了来自全球190多个国家地区的25亿用户。但正所谓树大招风,Google Play也早已被众多恶意软件盯上,成为它们的集散中心。

640.jpg

【图:为庆祝Google Play十周年,谷歌设计了新的标志】

近两年,Google Play恶意软件泛滥的问题已经引起了越来越多安全机构的注意,根据2020年的一项调查研究,Google Play直接被确认为是安卓设备上安装恶意软件的主要来源。研究人员通过对790万款独立应用所涉及的3400万个APK分析,发现有10%到24%可以被描述为恶意或不需要的应用软件。研究人员还特别研究了这些软件的来源路径,结果显示,大约67%的恶意应用软件安装来自Google Play。

由于Google Play恶意软件问题越发严峻,安全事件频出,FreeBuf曾在近期做过多次专门报道:

Facestealer

今年5月,趋势科技揭露了一款名为Facestealer的间谍软件,该软件自去年7月被俄罗斯安全厂商Doctor Web发现以来,通过变换马甲,伪装成超200款应用渗透进Google Play,其中VPN类应用占比最高,达42款,其次是拍照类应用(20款)及照片编辑类应用(13款)。

Facestealer的目的是窃取用户Facebook账户的敏感信息,当用户登录Facebook账户后,恶意软件会搜集Cookie,并加密发送至攻击者所在的远程服务器。

640 (1).jpg

【图:Facestealer请求用户登录Facebook】

Autolycos

同样是去年,网络安全公司Evina的研究人员注意到一款名为Autolycos的恶意软件,根据批露,有8款软件内含Autolycos,累计下载次数超过了300万次。作为一种新型的恶意软件,Autolycos能够执行隐蔽的恶意行为,如在远程浏览器上执行URL,然后将结果纳入到HTTP请求中,而不是使用Webview。这种方式旨在使其行为变得更加隐蔽,也不会被受感染设备的防护措施检测到。

Joker

Joker与Google Play的羁绊可谓最久,这是一款向用户恶意订阅由攻击者控制的高级付费服务的恶意软件,自2017年问世以来现身频繁。去年底,Joker被曝附身于一款名为Color Message的短信App内,下载次数达到了50万次,并在用户神不知鬼不觉的情况下订阅了昂贵的云计算服务。此外,它还会访问用户联系人信息,并将信息发送至由攻击者控制的境外服务器。

640 (2).jpg

【图:下载量达50万次的Color Message】

最近,网络安全公司Zscaler又在Google Play发现了53款含有Joker的应用软件,累计下载次数超过了33万次。这些应用一般通过冒充短信、照片编辑器、血压计、表情符号键盘和翻译应用程序的形式出现,一旦用户安装后,应用程序又要求提升设备的权限来进行其它操作。

640.jpg

【图:部分含有Joker的恶意软件】

道高一尺魔高一丈

其实官方应用市场时不时冒出恶意软件并不是什么新鲜事,哪怕是相对封闭的苹果macOS与iOS系统有时也会为之困扰,据Apple Insider的统计,2022年迄今已发现超过3400万个新的恶意软件样本,其中macOS为2000个,而安卓系统则达到了53.6万个,可见基于安卓系统自身的开放性,恶意软件的防范难度远非macOS与iOS能够比拟。

在上传至Google Play时,这些恶意软件可通过轻量化的代码,伪装、克隆成合法正常的应用程序,以欺骗Google Play的安全防御检测,即使当受害首次下载安装时也看不出任何端倪,而一旦获取了用户设备相应的权限,这些恶意软件才逐渐浮现出庐山真面目——比如通过Dropper(滴管)技术,在受害者设备上逐步部署带有恶意功能的有效载荷。

为了尽可能多地持续性绕过检测,这些恶意软件也会不断升级优化,也会善于利用通用工具进行混淆,比如Joker曾利用由谷歌设计的开源应用开发工具包Flutter来逃避基于设备和应用商店的安全检测,它能允许开发者从一个代码库中为移动端、网络端和桌面端制作本地应用。由于Flutter的通用性,恶意软件代码也可以轻松绕过检查。

面对恶意软件泛滥,谷歌表示,仅在2021年就封禁了190000个恶意和垃圾邮件开发者账户,120万款违反Google Play政策的应用被删除,但这并不表示这些删除都是及时的。如前文所述,去年6月,网络安全公司Evina发现了8款内含Autolycos的恶意软件,并随即向谷歌做了汇报,但谷歌花了长达约半年的时间才删除了其中的6款软件,另外两款直到今年7月初才被删除。正是由于许多恶意软件仍需要安全公司甚至用户主动发现并上报,再经过谷歌一定时间的审核确认,导致不少恶意软件在被删除前已被下载了数万次,在这期间,攻击者可能已或多或少达成了他们的目的。

对于主要依靠事后删除这种治标不治本的做法,谷歌也尝试过扩大其检测和防御手段,但这些恶意软件的更新迭代也在不断加快,总能找到空子趁机溜入。今年4月,谷歌通过了一系列新的开发策略,要求自2022年11月1日起,所有新发布的应用程序必须对标最新Android系统版本发布后一年之内与之相匹配的API级别,否则将不得上架Google Play;而现有应用若两年内未对标相应API级别,则会被Google Play移除。

640 (1).jpg

【图:新发布应用的API级别定位要求】

这一变化旨在要求应用程序开发人员采用更严格的API策略来支持较新的Android版本,以针对目前的安全威胁,获得更好的权限管理和撤销、通知反劫持、数据隐私增强、网络钓鱼检测、屏幕启动限制等功能。

另外一项政策便是收紧了“REQUEST_INSTALL_PACKAGES”权限,以针对一些应用在上架Google Play时通过提交看似正常的代码骗过审核,并在被下载后部署恶意模块。该政策已于7月正式生效,适用于所有使用API级别为25(Android 7.1)及更高版本的应用,使用此权限的应用程序在安装或更新时仅能获取经过数字签名的数据包,且不得执行自我更新、修改或在文件中捆绑其他APK的操作。

这些政策能给谷歌防范恶意软件带来多大帮助目前还不得而知,但有一点可以肯定,恶意软件如同经久不衰的DDoS以及APT攻击,攻击者总能找到突破口实施入侵。对于Google Play,谷歌所要做的就是尽可能地快人一步,不断升级安全措施,及时发现并阻止恶意软件,尽量减小它们对用户构成的威胁。

↟点击阅读全文
版权说明

本文内容来自于FreeBuf,本站不拥有所有权,不承担相关法律责任。文章内容系作者个人观点,不代表快出海对观点赞同或支持。如有侵权,请联系管理员(zzx@kchuhai.com)删除!

相关文章
Meta将推出全程加密E2EE聊天消息备份
Meta将推出全程加密E2EE聊天消息备份
Meta本周宣布正在测试全程加密(end to end encryption,E2EE)聊天消息备份,允许用户必要时可以在另一台设备回复资料。该公司说这功能和近日涉及青少女因FB Messenger对话资料被用于起诉无关。
十轮网
9小时前
谷歌YouTube计划推出流媒体视频服务在线商店,已筹备至少18个月
谷歌YouTube计划推出流媒体视频服务在线商店,已筹备至少18个月
Alphabet旗下YouTube正计划推出流媒体视频服务在线商店。
长河
10小时前
飞天技术峰会:持续释放技术红利
飞天技术峰会:持续释放技术红利
今天,2022阿里云飞天技术峰会在深圳举行,会上宣布计算巢加速器、专属Region、无影架构等多款技术产品升级。同时,基于自研技术体系的计算效率优化,阿里云宣布,即日起针对部分ECS弹性计算实例调价,用户最多可省19%。
阿里云
3天前
【最新报告】《2022年餐饮美食应用移动市场报告》:如何应对成本意识强且时间紧张的用户需求?
【最新报告】《2022年餐饮美食应用移动市场报告》:如何应对成本意识强且时间紧张的用户需求?
我们最新的报告具备空前的精确度,可以精准诠释移动领域餐饮美食应用现状。在App IQ的支持下,我们深入地研究了7个子类别,包括:送餐和外卖、极速配送、杂货配送等。我们的《餐饮美食应用报告》揭示了在20个主要市场的餐饮美食App赛道取得成功所需的细微洞察。
dataai CN
3天前
敦煌网集团受邀出席全球跨境电子商务大会,指路海外社交电商新市场
敦煌网集团受邀出席全球跨境电子商务大会,指路海外社交电商新市场
8月9日,第六届全球跨境电子商务大会在河南郑州召开。敦煌网集团作为代表性跨境电商企业受邀出席,敦煌网全球用户营销中心副总裁王昕、敦煌网集团DHLink物流事业部负责人万松分别就跨境电商发展新趋势及行业人才培育输送等重要议题分享观点。
敦煌网
3天前
扫描关注获取更多 出海资讯 的相关信息
扫码登录
打开扫一扫, 关注公众号后查看更多
加载中
二维码已失效 请重试
刷新
账号登录/注册
小程序
公众号
商务合作
投稿采访
出海管家