谷歌:安卓恶意软件通过版本控制潜藏在Google Play商店

安全
该技术通过向已安装的应用程序提供更新来引入恶意有效负载,或者通过所谓的动态代码加载(DCL)从威胁参与者控制的服务器加载恶意代码。

谷歌云安全团队近日表示,恶意行为者在躲过Google Play商店的审查流程和安全控制后,会使用一种被称为版本控制的常见策略,在Android设备上植入恶意软件。

该技术通过向已安装的应用程序提供更新来引入恶意有效负载,或者通过所谓的动态代码加载(DCL)从威胁参与者控制的服务器加载恶意代码。

它允许攻击者绕过应用商店的静态分析检查,在Android设备上以原生、Dalvik或JavaScript代码的形式部署有效负载。

谷歌在今年的威胁趋势报告中提到:恶意行为者试图规避 Google Play 安全控制的一种方式是版本控制。

比如,开发者会在Google Play应用商店发布一个看似合法并通过谷歌检查的应用程序初始版本,但随后用户会收到来自第三方服务器的更新提示,这时候终端用户设备上的代码会被改变,这样威胁者就可以实施恶意活动,从而实现版本控制。

谷歌表示,所有提交到 Play Store 的应用程序和补丁都要经过严格的 PHA(潜在有害应用程序)筛选,但 "其中一些控制 "被 DCL 绕过。

Play Store通过版本控制绕过安全控制(图源:Google)

谷歌方面表示:此类活动的应用程序违反了Google Play欺骗行为政策,可能被贴上后门标签。

根据该公司的 Play Policy Center 指导方针,通过 Google Play 发布的应用程序禁止通过 Google Play 提供的官方更新机制以外的任何方式进行更改、替换或更新。

此外,应用程序严禁从外部资源下载可执行代码(如 dex、JAR 或 .so 文件0)到官方 Android 应用商店。

谷歌还强调了一种名为 SharkBot的恶意软件变种,该软件最早由 Cleafy 的威胁情报团队于 2021 年 10 月首次发现。SharkBot 是一种银行恶意软件,在入侵安卓设备后会通过自动转账服务(ATS)协议进行未经授权的转账。

为了躲避 Play Store 系统的检测,SharkBot 的威胁制造者采用了一种现在常见的策略,即在 Google Play 上发布功能有限的版本,掩盖其应用程序的可疑性质。

然而,一旦用户下载了木马应用程序,就会下载完整版的恶意软件。

Sharkbot 伪装成安卓杀毒软件和各种系统实用程序,通过 Google Play 商店的恶意行为提交检查,成功感染了成千上万的用户。

网络安全记者Brian Krebs强调了 ThreatFabric 安全研究人员最近公布的一种不同的移动恶意软件混淆技术。这种方法能有效破解谷歌的应用程序分析工具,使其无法扫描恶意 APK(安卓应用程序包)。因此,尽管这些有害的 APK 被标记为无效,仍能成功安装到用户的设备上。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-06-05 13:59:01

恶意软件安卓Android

2013-01-07 17:11:24

2013-04-23 15:46:43

2020-10-05 21:54:32

恶意软件Google Google Pla

2015-09-15 15:51:43

恶意软件CAPTCHA绕道

2023-07-14 16:10:09

恶意软件

2015-02-09 10:14:33

2021-10-25 15:16:29

Windows 11操作系统微软

2021-03-11 12:17:56

恶意软件移动安全攻击

2021-03-11 17:32:32

Check Point

2012-06-22 14:33:17

Android 4.1

2023-05-11 11:27:49

AI 助手谷歌

2023-05-04 18:11:45

2011-06-01 10:13:08

Android Mar恶意软件谷歌

2020-11-04 15:13:32

Google PlayAndroid应用程序

2013-04-22 09:19:25

Google Play病毒移动安全

2021-07-01 13:35:12

APKAAB格式谷歌

2013-05-14 10:13:37

wifitp-link密码

2013-07-30 13:51:45

恶意应用安卓移动应用商店

2023-08-02 09:38:10

ChatGPTOpenAI
点赞
收藏

51CTO技术栈公众号