Google Play的恶意应用问题再感染170万台设备

Google Play的恶意应用问题再感染170万台设备

欢迎收看风火轮技术团队第一前沿资讯，我是本文报道员小风风。

近日，用于Android应用程序的官方存储库Google Play再次被发现托管欺诈性和潜在恶意应用程序，发现了56多种应用程序（其中许多用于儿童）已安装在将近170万台设备上。

比如，Tekya是一类恶意软件，它们对包括Google的AdMob，AppLovin'，Facebook和Unity在内的代理商提供的广告和横幅产生欺诈性点击。为了使点击具有真实性，经过充分处理的代码使受感染的设备使用Android的“ MotionEvent”机制来模仿合法的用户操作。安全公司Check Point的研究人员发现它们时，VirusTotal和Google Play Protect并未检测到这些应用程序。包含Tekya的应用中有24个是针对儿童的。Google在Check Point报告它们后删除了所有56个应用程序。

（goole play面临新的挑战）

Check Point研究人员Israel Wernik，Danil Golubenko和Aviran Hazum在星期二发表的一篇文章中写道，这一发现“再次凸显了Google Play商店仍可以托管恶意应用程序” 。“该商店提供了将近300万个应用程序，每天有数百个新应用程序上载，这使得很难检查每个应用程序是否安全。因此，用户不能仅依靠Google Play的安全措施来确保其设备受到保护。”

走向本土

为了使恶意行为更难被发现，这些应用程序是使用本机Android代码编写的-通常使用C和C ++编程语言编写。Android应用程序通常使用Java来实现逻辑。该语言的界面为开发人员提供了访问多层抽象的便利。相反，本机代码是在较低级别实现的。尽管Java可以很容易地反编译（将二进制文件转换回人类可读的源代码的过程），但是使用本机代码很难做到这一点。

（goole play回归大陆）

安装后，Tekya应用程序会注册一个广播接收器，该广播接收器执行多种操作，包括：

BOOT_COMPLETED允许代码在设备启动（“冷”启动）时运行

USER_PRESENT，以便检测用户何时正在积极使用设备

QUICKBOOT_POWERON允许设备重启后运行代码

接收方的唯一目的是将本地库'libtekya.so'加载到每个应用程序.apk文件内的librarys文件夹中。Check Point帖子提供了有关代码工作方式的更多技术细节。Google代表确认该应用已从Play中删除。

（goole play商店里的恶意应用已超70w个）

但是，小风风发现，goole play，好像并不是这么简单。

在goole play被曝问题后，反病毒提供商Dr.Web于周二发表报告称，发现了数量不详的Google Play应用，下载次数超过700,000次，其中包含被称为Android.Circle.1的恶意软件。该恶意软件使用了基于BeanShell脚本语言的代码， 并结合了广告软件和点击欺诈功能。该恶意软件经过18处修改，可用于执行网络钓鱼攻击。

Dr.Web帖子并未列出所有包含Android.Circle.1的应用程序的名称。识别出的少数应用程序是：墙纸黑色-深色背景，星座运势2020-十二生肖，甜蜜相遇，卡通相机和泡泡射击。Google删除了Dr.Web报告的所有应用程序。同时，Check Point发现的56个应用程序位于周二的Check Point帖子中，该帖子再次位于此处。

Android设备通常在被发现具有恶意功能后便会卸载它们，但该机制并非始终能够按预期运行。读者可能需要检查其设备，以查看是否已被感染。与往常一样，读者应在安装的应用程序中高度选择。毫无疑问，Google扫描可检测到提交给Play的恶意应用程序的很大一部分，但仍有大量用户继续受到绕过这些检查的恶意软件的感染。

（恶意应用佯装成goole play）

小风风查询了相关官方给的报道，发现在一条goole play领导者的消息。

其领导者写道：需要明确的是，这种情况下的恶意软件是点击欺诈，受害者是Google（他们为该应用未向您显示的广告付费）。尽管我会为谷歌的投资者损失的利润而感到痛心，但我不确定您是否真的希望他们对设备施加更多的限制，以保护他们的利润。

但是，从用户的角度来看，他们的设备运行温度更高，电池寿命更短并且使用更多的数据-我希望这些恶意应用程序只要能够单击蜂窝连接，就不必等待wifi。即使是恶意软件“仅”实施点击欺诈，也存在这些问题。

更笼统地说，问题是人们无法毫无把握地从规范的Android Play商店获取免费的恶意软件代码。谷歌的自动化系统在实践中显然可以被对手击败，这是每个使用这种设备的人都担心的问题。

于今日goole play出现的恶意应用感染情况，小风风认为，在goole play中，尚且无法区分伪装的恶意应用，如果从用户的角度讲，适当的保持一定距离，不失为一种不错的方法。

关注风火轮，技术之路常相伴，我们下期见！