2012年7月26日,Google将AndroidMarket更名为GooglePlay,也就是今天大家耳熟能详的名字。作为整个Android系统最重要、最官方的应用下载市场,GooglePlay在过去10年里服务了全球190多个国家和地区的25亿用户。但正所谓树大招风,GooglePlay早已成为众多恶意软件的目标,成为它们的集散地。为庆祝GooglePlay成立10周年,谷歌用了将近两年的时间设计了新的logo。GooglePlay上的恶意软件泛滥问题引起了越来越多安全机构的关注。根据2020年的一项调查研究,直接确认GooglePlay是安装在Android设备上的恶意软件的主要来源。研究人员分析了790万个独特应用程序中涉及的3400万个APK,发现其中10%到24%可被描述为恶意或不需要的应用程序。研究人员还专门研究了这些软件的来源路径,结果显示,大约67%的恶意应用安装来自GooglePlay。由于GooglePlay恶意软件问题日趋严重,安全事件频发,FreeBuf近期做了多份专题报道:Facestealer今年5月,趋势科技披露了一款名为Facestealer的间谍软件,自去年7月以来一直被黑客入侵。自俄罗斯安全公司DoctorWeb发现以来,已有200多个应用程序通过换马甲的方式渗透到GooglePlay中,并伪装成200多个应用程序。其中,VPN类APP占比最高,达到42款,其次是拍照APP(20款)和修图APP(13款)。Facestealer的目的是窃取用户Facebook帐户的敏感信息。当用户登录到Facebook帐户时,恶意软件会收集cookie并将它们加密发送到攻击者的远程服务器。Facestealer要求用户登录FacebookAutolycos同样在去年,网络安全公司Evina的研究人员注意到了一种名为Autolycos的恶意软件。据披露,8款软件中包含Autolycos,累计下载量超过300万次。作为一种新型恶意软件,Autolycos能够执行隐蔽的恶意操作,例如在远程浏览器上执行URL,然后将结果包含在HTTP请求中,而不是使用webview。这种方法旨在使其行为更加隐蔽,并且无法被受感染设备的防御系统检测到。AutolycosJokerJoker这个伪装成相机的应用,与GooglePlay的羁绊最长。它是一种恶意软件,可以恶意为用户订阅由攻击者控制的付费服务。它自2017年成立以来频繁出现。去年年底,小丑被曝附身于一款名为ColorMessage的短信应用程序中,该应用程序已被下载50万次,并在用户不知情的情况下订阅了昂贵的云计算服务。此外,它还会访问用户联系信息并将信息发送到由攻击者控制的离岸服务器。ColorMessage,已被下载500,000次。近日,网络安全公司Zscaler在GooglePlay上发现了53款包含Joker的应用,累计下载量超过33万次。这些应用程序通常以短信、照片编辑器、血压计、表情符号键盘和翻译应用程序的形式出现,一旦被用户安装,这些应用程序就需要提升设备权限才能进行其他操作。一些包含小丑的恶意软件一尺高,魔王一尺高。其实,官方应用市场上时不时出现恶意软件已经不是什么新鲜事了。即使是相对封闭的苹果macOS和iOS系统,有时也会受到它的困扰。据AppleInsider统计,2022年迄今已发现超过3400万个新恶意软件样本,其中2000个针对macOS,53.6万个针对Android。由此可见,基于Android系统本身的开放性,恶意软??件的防范难度远比macOS和iOS可比。这些恶意软件在上传到GooglePlay时,可以通过轻量代码伪装克隆成合法正常的应用程序,欺骗GooglePlay的安全防御检测。即使受害者是第一次下载安装,也毫无头绪。一旦获得了用户设备的相应权限,这些恶意软件就会逐渐露出真面目——例如,通过Dropper(投放器)技术,将具有恶意功能的payload逐步部署到受害者的设备上。为了尽可能地不断绕过检测,这些恶意软件也会不断升级优化,也会善于使用常用工具进行混淆。例如,Joker利用谷歌设计的开源应用开发包Flutter,基于设备和应用商店进行规避,它允许开发人员从单个代码库为移动、Web和桌面制作本机应用程序。由于Flutter的通用性,恶意代码也可以轻松绕过检查。面对恶意软件的泛滥,谷歌表示,仅在2021年,将封禁19万个恶意和垃圾开发者账户,移除120万个违反GooglePlay政策的应用,但这并不意味着这些移除是及时的。如上所述,去年6月,网络安全公司Evina发现了8种含有Autolycos的恶意软件,并立即向谷歌报告,但谷歌用了大约半年时间才删除了其中6种,另外两个直到今年七月初才被删除。正是因为很多恶意软件仍然需要安全公司甚至用户主动发现和报告,然后经过一定时间谷歌的审核和确认。因此,许多恶意软件在被删除之前已经被下载了数万次。在此期间,攻击者可能或多或少达到了目的。对于主要依靠后期删除这种治标不治本的做法,谷歌也尝试扩展其检测和防御手段,但这些恶意软件的更新迭代也在加速,总能找到漏洞今年4月,谷歌采取了一系列新的发展战略,要求从2022年11月1日起,所有新发布的应用程序必须在最新Android系统版本发布后的一年内匹配API级别,否则将无法在GooglePlay上架;如果现有应用在两年内不满足相应的API级别,将被GooglePlay下架。新发布应用的API级别目标要求本次变更旨在要求应用开发者采用更严格的API策略来支持更新的Android版本,以更好地进行权限管理和撤销,针对当前的安全威胁通知对策。劫持、数据隐私增强、网络钓鱼检测、屏幕启动限制等。另一个策略是收紧“REQUEST_INSTALL_PACKAGES”权限,针对一些在上架GooglePlay时提交看似正常的代码欺骗审核,下载后部署恶意模块的应用。该政策已于7月正式生效,适用于所有使用API级别25(Android7.1)及更高版本的应用程序。使用该权限的应用只能在安装或更新时获取经过数字签名的数据包,而不能进行自更新、修改或捆绑文件中其他APK的操作。这些策略能在多大程度上帮助谷歌阻止恶意软件仍然是未知数,但可以肯定的是,恶意软件就像持久的DDoS和APT攻击一样,攻击者总能找到突破口进行入侵。对于GooglePlay,谷歌要做的就是尽可能快,不断升级安全措施,及时发现并拦截恶意软件,将它们对用户造成的威胁降到最低。
