带有的恶意应用程序gt100万下载两次突破Google防御

  心得体会     |      2018-06-17

研究人员最近发现,官方Google Play市场上至少有50个应用程序在用户不知情或未经用户许可的情况下对收费服务收费。这些应用程序被下载了多达420万次。研究人员报告后,Google迅速删除了这些应用程序,但几天之内,来自同一恶意家族的应用程序又被退回,并感染了5000多台设备。

这些应用程序都来自安全公司Check Point称之为expendivewall的恶意软件家族,它们秘密地将电话号码、位置和唯一硬件标识符上传到攻击者控制的服务器。然后,这些应用程序使用这些电话号码为不知情的用户注册优质服务,并发送欺诈性的优质短信,这一举动导致用户付费。检查点研究人员不知道这些应用程序产生了多少收入。Google Play显示,这些应用程序的下载量从100万到420万不等。

Packing heatexpendivewall——以LovelyWall的单个应用程序命名——使用了一种称为Packing的常见混淆技术。通过在可执行文件上传播放之前对其进行压缩或加密,攻击者可以对Google的恶意软件扫描程序隐藏其恶意。包中包含的密钥随后在文件安全地位于目标设备上后重新组合可执行文件。尽管打包已经有十多年的历史了,但Google没能抓住应用程序,即使在第一批程序被删除后,这也凸显了这项技术的有效性。

虽然expendivewall目前只是为了从受害者身上获利而设计的,但是类似的恶意软件可以很容易地被修改,以使用相同的基础设施来捕捉图片、录制音频,甚至窃取敏感数据,并将这些数据发送到命令和控制( C & C )服务器上。”Check Point研究人员在预定周四发表的报告中写道。由于恶意软件能够无声地运行,所有这些非法活动都是在受害者不知情的情况下发生的,使其成为最终的间谍工具。

Check Point研究人员告诉Ars,即使在Google将应用程序从游戏中删除后,许多手机仍将受到感染,直到用户明确卸载恶意标题。Google长期以来一直表示,一项名为Play Protect的安全功能,以前称为验证应用程序,将自动从受影响的手机中删除恶意应用程序。然而,检查点研究人员告诉Ars,许多手机从未消毒过,要么是因为用户关闭了默认功能,要么是使用了不支持它的旧版本的Android。受影响的应用程序的完整列表包含在上面链接的检查点报告中。Google代表没有立即对此帖子发表评论。

研究人员说,他们认为expendivewall是由一个名为GTK的软件开发工具包传播的,开发人员将GTK嵌入到自己的应用程序中。尚不清楚个别开发人员是否知道他们的应用程序所执行的恶意行为。Google持续无法阻止恶意应用程序的运行是Android操作系统面临的最大安全责任之一。Android用户应该限制他们在设备上安装的应用程序。在安装应用程序之前,他们还应该仔细阅读用户评论并检查请求的权限。他们还应该通过打开Google Play应用程序,选择选项,选择“Play Protect”(播放保护)选项卡,并确保保护处于打开状态,来确保播放保护处于打开状态。这些措施并不足以确保已安装的应用程序值得信任,但目前这是最好的保证。