Google Play的恶意应用问题再感染170万台设备
欢迎收看风火轮技术团队第一前沿资讯,我是本文报道员小风风。
近日,用于Android应用程序的官方存储库Google Play再次被发现托管欺诈性和潜在恶意应用程序,发现了56多种应用程序(其中许多用于儿童)已安装在将近170万台设备上。
比如,Tekya是一类恶意软件,它们对包括Google的AdMob,AppLovin',Facebook和Unity在内的代理商提供的广告和横幅产生欺诈性点击。为了使点击具有真实性,经过充分处理的代码使受感染的设备使用Android的“ MotionEvent”机制来模仿合法的用户操作。安全公司Check Point的研究人员发现它们时,VirusTotal和Google Play Protect并未检测到这些应用程序。包含Tekya的应用中有24个是针对儿童的。Google在Check Point报告它们后删除了所有56个应用程序。
(goole play面临新的挑战)
Check Point研究人员Israel Wernik,Danil Golubenko和Aviran Hazum在星期二发表的一篇文章中写道,这一发现“再次凸显了Google Play商店仍可以托管恶意应用程序” 。“该商店提供了将近300万个应用程序,每天有数百个新应用程序上载,这使得很难检查每个应用程序是否安全。因此,用户不能仅依靠Google Play的安全措施来确保其设备受到保护。”
走向本土
为了使恶意行为更难被发现,这些应用程序是使用本机Android代码编写的-通常使用C和C ++编程语言编写。Android应用程序通常使用Java来实现逻辑。该语言的界面为开发人员提供了访问多层抽象的便利。相反,本机代码是在较低级别实现的。尽管Java可以很容易地反编译(将二进制文件转换回人类可读的源代码的过程),但是使用本机代码很难做到这一点。
(goole play回归大陆)
安装后,Tekya应用程序会注册一个广播接收器,该广播接收器执行多种操作,包括:
BOOT_COMPLETED允许代码在设备启动(“冷”启动)时运行
USER_PRESENT,以便检测用户何时正在积极使用设备
QUICKBOOT_POWERON允许设备重启后运行代码
接收方的唯一目的是将本地库'libtekya.so'加载到每个应用程序.apk文件内的librarys文件夹中。Check Point帖子提供了有关代码工作方式的更多技术细节。Google代表确认该应用已从Play中删除。
(goole play商店里的恶意应用已超70w个)
但是,小风风发现,goole play,好像并不是这么简单。
在goole play被曝问题后,反病毒提供商Dr.Web于周二发表报告称,发现了数量不详的Google Play应用,下载次数超过700,000次,其中包含被称为Android.Circle.1的恶意软件。该恶意软件使用了基于BeanShell脚本语言的代码, 并结合了广告软件和点击欺诈功能。该恶意软件经过18处修改,可用于执行网络钓鱼攻击。
Dr.Web帖子并未列出所有包含Android.Circle.1的应用程序的名称。识别出的少数应用程序是:墙纸黑色-深色背景,星座运势2020-十二生肖,甜蜜相遇,卡通相机和泡泡射击。Google删除了Dr.Web报告的所有应用程序。同时,Check Point发现的56个应用程序位于周二的Check Point帖子中,该帖子再次位于此处。
Android设备通常在被发现具有恶意功能后便会卸载它们,但该机制并非始终能够按预期运行。读者可能需要检查其设备,以查看是否已被感染。与往常一样,读者应在安装的应用程序中高度选择。毫无疑问,Google扫描可检测到提交给Play的恶意应用程序的很大一部分,但仍有大量用户继续受到绕过这些检查的恶意软件的感染。
(恶意应用佯装成goole play)
小风风查询了相关官方给的报道,发现在一条goole play领导者的消息。
其领导者写道:需要明确的是,这种情况下的恶意软件是点击欺诈,受害者是Google(他们为该应用未向您显示的广告付费)。尽管我会为谷歌的投资者损失的利润而感到痛心,但我不确定您是否真的希望他们对设备施加更多的限制,以保护他们的利润。
但是,从用户的角度来看,他们的设备运行温度更高,电池寿命更短并且使用更多的数据-我希望这些恶意应用程序只要能够单击蜂窝连接,就不必等待wifi。即使是恶意软件“仅”实施点击欺诈,也存在这些问题。
更笼统地说,问题是人们无法毫无把握地从规范的Android Play商店获取免费的恶意软件代码。谷歌的自动化系统在实践中显然可以被对手击败,这是每个使用这种设备的人都担心的问题。
于今日goole play出现的恶意应用感染情况,小风风认为,在goole play中,尚且无法区分伪装的恶意应用,如果从用户的角度讲,适当的保持一定距离,不失为一种不错的方法。
关注风火轮,技术之路常相伴,我们下期见!
领取专属 10元无门槛券
私享最新 技术干货