Google年度安全报告--8大潜在的恶意程序

最新Google年度安全报告中提到:2017年，从Google Play下载到有害应用程序的可能性比小行星撞击地球的可能性还要低。

安智客在空余时间将报告进行了全文翻译，即将给大家分享中文翻译版！今天我们首先看一看Google安全报告中所列的8大PHA（有害应用程序）。

Chamois

Chamois是Android中迄今为止最大的PHA种类之一，并通过多种渠道分发。 尽管该系列的后门版本在2016年已被清理完毕，但2017年出现了一个新的变体。为避免检测，此版本采用了许多技术，如实现自定义代码混淆，防止用户通知，以及不出现在设备的应用列表中。在许多情况下预装了系统映像的Chamois应用程序试图通过显示欺骗性图形来欺骗WAP或SMS欺诈来诱骗用户点击广告。

2017年，印度的Chamois下载量最高（占总量的25％），而且几乎所有下载都来自Google Play之外。

IcicleGum

IcicleGum是一款间谍软件PHA种类，其应用程序依赖于提供动态代码加载支持的Igexin广告SDK版本。IcicleGum应用程序使用该库的代码加载功能从命令和控制服务器通过HTTP获取加密的DEX文件。 这些文件然后解密并通过类反射加载，以读取和发送电话呼叫记录和其他数据到远程位置。 一些包含Igexin的应用程序中的开发人员可能不知道SDK的风险，并且可能无法控制正在加载和执行的恶意代码 - 这是由命令与控制服务器根据从每个设备收到的配置信息动态决定的。 2017年俄罗斯的IcicleGum下载量最高（占总数的21％），其中70％的IcicleGum下载量来自Google Play。

BreadSMS

BreadSMS是我们在2017年初开始追踪的一个大型短信欺诈PHA种类。这些应用程序在未经用户同意的情况下编写并发送短信至指定号码。 在某些情况下，BreadSMS应用程序还实施基于订阅的SMS欺诈，并默默注册用户使用其移动运营商提供的服务。 这些应用程序链接到一组命令和控制服务器，这些服务器的IP地址经常变化，并用于向应用程序提供高级SMS号码和消息文本。泰国在2017年的BreadSMS下载次数最多（占总数的98％）， 大多数下载来自Google Play。

JamSkunk

JamSkunk是一个由应用程序组成的收费欺诈PHA种类，这些应用程序未经用户同意就向用户提供服务。 这些应用程序禁用Wi-Fi以强制流量通过用户的移动数据连接，然后联系命令和控制服务器动态获取试图绕过网络WAP服务订购验证步骤的代码。 这种类型的PHA通过WAP计费（通过移动数据连接起作用的支付方式）将他们的滥用货币化，并允许用户使用其现有账户轻松注册并支付新服务（即，服务由运营商直接支付，而不是服务提供商;用户不需要新的账户或不同的支付形式）。 一旦验证被绕过，JamSkunk应用程序会将设备注册到用户可能不会注意到的服务中，直到他们收到并阅读他们的下一个帐单。 2017年，越南的JamSkunk下载次数最多（占总数的83％），大部分下载来自Google Play。

Expensive Wall

Expensive Wall是一系列短信诈骗应用，它们在2017年影响了大量设备。Expensive Wall

应用使用代码混淆来减缓分析并规避检测，并依靠JS2Java桥接器来允许在Webview中加载JavaScript代码 Java方法是Java应用程序直接执行的方式。 启动后，Expensive Wall应用连接到命令和控制服务器以获取域名。 然后通过加载网页的Webview实例联系该域，并执行调用Java方法的JavaScript代码来撰写和发送高级SMS消息或在用户不知情的情况下点击广告。 比利时和法国的下载量最高（分别为17％和16％），大部分下载来自Google Play。

BambaPurple

BambaPurple是一个两阶段欺诈欺诈PHA种类，试图通过伪装成流行的应用来诱骗用户安装它。 安装后，应用程序将禁用Wi-Fi以强制设备使用其3G连接，然后在用户不知情的情况下重定向到订阅页面，使用下载的JavaScript单击订阅按钮，并拦截收到的订阅SMS消息以防止用户取消订阅。 在第二阶段，BambaPurple会安装一个后门应用程序，用于请求设备管理员权限并删除.dex文件。 此可执行程序将进行检查以确保它未被调试，未经用户许可即可下载更多应用程序，并显示广告。2017年，俄罗斯的BambaPurple下载量最高（占总量的63％），所有下载均来自Google Play之外。

KoreFrog

KoreFrog是一个特洛伊木马程序系列，它要求获得权限才能安装软件包，并在系统应用程序未经用户授权的情况下将其他应用程序推送到设备上。系统应用程序可以由用户禁用，但不能轻松卸载。 KoreFrog应用程序作为守护程序在后台运行，尝试通过使用误导性的名称和图标来冒充Google和其他系统应用程序以避免检测。 除了应用程序之外，KoreFrog PHA家族也被观察到可以投放广告。 2017年，俄罗斯和印度的KoreFrog下载次数最多（分别为11％和7％），大部分下载来自Google Play之外。

Gaiaphish

Gaiaphish是一个庞大的木马应用系列，其目标是存储在设备上的认证令牌，用于滥用用户的特权以实现各种目的。这些应用使用base64编码的URL字符串，以避免检测到他们依赖的命令和控制服务器来下载APK文件。 这些文件包含尝试窃取GAIA身份验证令牌的网上诱骗应用，授予用户访问Google服务的权限，例如Google Play，Google +和YouTube。 借助这些令牌，Gaiaphish应用程序能够生成垃圾邮件并自动发布内容（例如，假应用程序评分和评论）。印度在2017年的Gaiaphish下载量最高（占总数的23％）.Installs来自Google Play以及Google Play之外（分别为51％，49％）。