Google Play的惡意應用問題再感染170萬臺設備科技頭條網

歡迎收看風火輪技術團隊第一前沿資訊，我是本文報道員小風風。

近日，用於Android應用程序的官方存儲庫Google Play再次被發現託管欺詐性和潛在惡意應用程序，發現了56多種應用程序（其中許多用於兒童）已安裝在將近170萬臺設備上。

比如，Tekya是一類惡意軟件，它們對包括Google的AdMob，AppLovin'，Facebook和Unity在內的代理商提供的廣告和橫幅產生欺詐性點擊。為了使點擊具有真實性，經過充分處理的代碼使受感染的設備使用Android的“ MotionEvent”機制來模仿合法的用戶操作。安全公司Check Point的研究人員發現它們時，VirusTotal和Google Play Protect並未檢測到這些應用程序。包含Tekya的應用中有24個是針對兒童的。Google在Check Point報告它們後刪除了所有56個應用程序。

（goole play面臨新的挑戰）

Check Point研究人員Israel Wernik，Danil Golubenko和Aviran Hazum 在星期二發表的一篇文章中寫道，這一發現“再次凸顯了Google Play商店仍可以託管惡意應用程序” 。“該商店提供了將近300萬個應用程序，每天有數百個新應用程序上載，這使得很難檢查每個應用程序是否安全。因此，用戶不能僅依靠Google Play的安全措施來確保其設備受到保護。”

走向本土

為了使惡意行為更難被發現，這些應用程序是使用本機Android代碼編寫的-通常使用C和C ++編程語言編寫。Android應用程序通常使用Java來實現邏輯。該語言的界面為開發人員提供了訪問多層抽象的便利。相反，本機代碼是在較低級別實現的。儘管Java可以很容易地反編譯（將二進制文件轉換回人類可讀的源代碼的過程），但是使用本機代碼很難做到這一點。

（goole play迴歸大陸）

安裝後，Tekya應用程序會註冊一個廣播接收器，該廣播接收器執行多種操作，包括：

BOOT_COMPLETED允許代碼在設備啟動（“冷”啟動）時運行

USER_PRESENT，以便檢測用戶何時正在積極使用設備

QUICKBOOT_POWERON允許設備重啟後運行代碼

接收方的唯一目的是將本地庫'libtekya.so'加載到每個應用程序.apk文件內的librarys文件夾中。Check Point帖子提供了有關代碼工作方式的更多技術細節。Google代表確認該應用已從Play中刪除。

（goole play商店裡的惡意應用已超70w個）

但是，小風風發現，goole play，好像並不是這麼簡單。

在goole play被曝問題後，反病毒提供商Dr.Web於週二發表報告稱，發現了數量不詳的Google Play應用，下載次數超過700,000次，其中包含被稱為Android.Circle.1的惡意軟件。該惡意軟件使用了基於BeanShell腳本語言的代碼，並結合了廣告軟件和點擊欺詐功能。該惡意軟件經過18處修改，可用於執行網絡釣魚攻擊。

Dr.Web帖子並未列出所有包含Android.Circle.1的應用程序的名稱。識別出的少數應用程序是：牆紙黑色-深色背景，星座運勢2020-十二生肖，甜蜜相遇，卡通相機和泡泡射擊。Google刪除了Dr.Web報告的所有應用程序。同時，Check Point發現的56個應用程序位於週二的Check Point帖子中，該帖子再次位於此處。

Android設備通常在被發現具有惡意功能後便會卸載它們，但該機制並非始終能夠按預期運行。讀者可能需要檢查其設備，以查看是否已被感染。與往常一樣，讀者應在安裝的應用程序中高度選擇。毫無疑問，Google掃描可檢測到提交給Play的惡意應用程序的很大一部分，但仍有大量用戶繼續受到繞過這些檢查的惡意軟件的感染。