攻擊者仍在使用"版本控制"繞過 Google Play 的惡意軟件檢查


EpicGames等公司甚至拜登政府都曾批評蘋果在iOS系統中保留圍墻花園,不允許側載。然而,Google最頑固的問題之一-版本控制機制是蘋果關起門來的一個堅實理由。利用動態代碼加載,黑客可以通過第三方服務器向應用商店審核過的應用提供惡意更新,而應用商店對此卻無能為力。

2023-08-08-image-21-j.webp

Google網絡安全行動小組(GCAT)在本月的《威脅地平線》報告中指出,Google Play 仍然存在已知的惡意軟件問題。惡意應用程序開發者一直在使用"版本控制"將惡意軟件上傳到看似無害的應用程序中。

首先,威脅行為者向 Google Play 上傳一個無害的應用程序。該軟件不含惡意軟件,因此在自動審核過程中不會觸發標記。然後,攻擊者利用動態代碼加載(DCL)技術,通過自有或被入侵的服務器發送惡意更新。這樣,曾經安全的應用程序就成設備的後門,允許黑客竊取個人信息,包括用戶憑據。

報告指出:"使用版本控制的活動通常以用戶的憑證、數據和財務為目標。在企業環境中,版本化表明需要采用深度防禦原則,包括但不限於將應用程序安裝源限制在 Google Play 等可信源,或通過移動設備管理 (MDM) 平臺管理企業設備。"

2023-08-08-image-19-j_1100.webp

DCL 規避基於 Play Store 的安全控制,將惡意行為修補到已安裝的應用程序中。

Google知道這種攻擊載體已經有一段時間,但由於惡意軟件完全繞過 Google Play 的檢查,因此很難緩解。你可能還記得大約一年前,當安全研究人員發現開發者使用 DCL 用銀行木馬 Sharkbot 更新程序時,Google商店下架幾款本應安全的殺毒軟件。

然而,即使Google刪除這些糟糕的應用程序,最終還是會有更多的應用程序湧現出來,而由於通過其他應用程序商店的側載,許多其他應用程序仍然可用。GCAT 的報告提到,由於 DCL 的存在,Sharkbot 仍然是Android應用程序的常見問題。有時,它會發現 Sharkbot 的版本經過修改,功能有所減少,以降低被自動檢查彈出的幾率。然而,功能齊全的版本可能會在第三方應用程序商店中橫行。

最終,Android 終端用戶或公司的 IT 管理員必須采取相應的措施。Google建議隻從 Google Play 或其他可信來源下載軟件。另外,Android企業版或第三方企業移動管理解決方案都有內置工具,允許管理員有選擇性地管理公司設備上的應用分發。此外,Google還建議適當利用市場允許列表來幫助限制風險。


相關推薦

2023-11-05

也表示,今年因違反政策要求而下架 3500 多款此類應用。攻擊者仍在想方設法瞄準受害者。"我們的政策讓掠奪性應用更難在 Play Store 上架。"Google亞太地區信任與安全主管賽卡特-米特拉(Saikat Mitra)上個月在新德裡舉行

2023-04-12

危險的一步就是劫持Play商店的開發者賬戶。一個潛在的攻擊者可以向黑客支付25-80美元,購買一個被盜或用偷來的憑證註冊的開發者賬戶。這讓網絡犯罪分子把以前信任的應用程序轉化為惡意軟件的載體。如果攻擊者上傳一個新

2022-07-21

初至 6 月期間對葡萄牙和巴西的外交使團和外國使館發起攻擊。研究人員表示:“攻擊者采用全新的策略,利用 Google 雲存儲服務的普遍性以及基於全球數百萬用戶對其的信任傳播惡意軟件,而意味著如何檢測出這些惡意軟件面

2023-03-28

網廠商通過持續挖掘Android廠商OEM代碼中的反序列化漏洞攻擊用戶手機,竊取競爭對手軟件數據,以防止自身被卸載。報告指出,該互聯網廠商通過上述一系列隱蔽的黑客技術手段,在其合法 App 的背後,達到:隱蔽安裝,提升裝

2022-07-20

Azov 網站上描述,稱該應用會對俄羅斯網站發起拒絕服務攻擊,不過實際上經 TAG 分析該應用並無這方面的功能。通過 VirusTotal 分析該 APK 文件,很多知名反惡意軟件提供商都將其標記為含有木馬的惡意應用。TAG 博文中表示目前

2022-08-18

樣的誘餌 PDF 文件,然後就會調用惡意 DLL,最終允許威脅攻擊者向受影響的設備發送命令。ESET 的網絡安全專傢表示黑客已經做好攻擊 macOS 系統的準備。專傢表示 Intel 和 Apple Silicon 的 Mac 均會受到影響,意味著無論新舊設備都可

2022-06-22

以在用戶登錄足夠多的次數後、輕松執行完整的密鑰恢復攻擊。得逞後,攻擊者便可破譯用戶存儲的文件、甚至將其它惡意文件上傳到用戶的存儲庫 —— 即便表面上看起來與此前真實上傳的數據沒有區別。研究人員寫道 ——

2022-11-16

就會激活。研究人員發現,MacKeeper是Mac用戶作為惡意軟件攻擊載體的最大威脅。MacKeeper有一段不好的歷史,涉及的彈窗廣告,而且一些版本讓Mac容易受到惡意軟件的攻擊。MacKeeper程序經常被視為惡意軟件,或被用來傳播惡意軟件

2022-06-26

軟件與意大利間諜軟件供應商RCS實驗室聯系起來。一個被攻擊和篡改的網站案例Lookout稱,RCS實驗室與NSO集團 - 也就是PegASUS間諜軟件背後臭名昭著的監控雇傭公司是同一傢公司,他們向各國各級政府機構兜售商業間諜軟件。Lookout

2022-06-24

向遭到Hermit移動間諜軟件入侵的Android用戶發去警告。被攻擊者控制的一個站點截圖Lookout 與 Google 指出,Hermit 被證實為有官方背景的商業間諜軟件,受害者主要出現在哈薩克斯坦和意大利、但敘利亞北部也有被發現。該間諜軟件

2022-06-30

:Black Lotus Labs)安全研究人員指出,針對路由器的 ZuoRAT 攻擊的幕後操盤手,或有著深厚且復雜的背景。作為更廣泛的黑客活動的一部分,這款遠程訪問木馬的活動,至少可追溯到 2020 年 4 季度。看到專為 MIPS 架構編寫的定制惡

2022-08-27

之後,也無法獲得最終的惡意軟件載荷。卡巴斯基發現的攻擊始於向朝鮮和韓國的政治傢、外交官、大學教授和記者發送的釣魚郵件。由於檢索到含有部分目標電子郵件地址的C2腳本,卡巴斯基能夠編制一份潛在目標的清單。這

2022-09-17

都是為加載 AirDry.V2 後門這個有效載荷。釣魚手段方面,攻擊者加裝自己是亞馬遜的招聘評估人員。通過分析 ISO 鏡像中的文件,可知兩者帶有相同的木馬化 PuTTY 可執行文件、以及位於自述文件中的服務器端 IP 地址。每個樣本中

2022-07-21

pCloud、Yandex Disk 和 Dropbox 這樣的公共雲存儲系統,以便於攻擊者後續使用。ESET 發現這些上傳的文件會自動按照月份和受害者名稱進行命名排序。安全專傢發現首個受 CloudMensis 攻擊的 Mac 設備可以追溯到 2022 年 2 月 4 日,這表明