Google Cloud 安全团队承认,恶意软件作者在逃避 Google Play 商店的审核流程和安全控制后,会使用一种称为版本控制的常见策略,在 Android 设备上传播恶意软件。
该技术的工作原理是通过向已安装的应用程序提供更新来引入恶意负载,或者通过在攻击者控制下从服务器加载恶意代码(即所谓的 动态代码加载 (DCL))来发挥作用。
它允许攻击者绕过应用商店的静态分析检查,将其有效负载部署为 Android 设备上的本机、Dalvik 或 JavaScript 代码。
该公司在今年的威胁趋势报告中表示:“攻击者试图规避 Google Play 安全控制的一种方法是通过版本控制。 ”
“当开发人员在 Google Play 商店上发布应用程序的初始版本时,该应用程序看起来合法并通过了我们的检查,但后来收到来自第三方服务器的更新,更改了最终用户设备上的代码,从而导致恶意活动,就会发生版本控制风险。 ”
虽然谷歌表示,提交到 Play 商店的所有应用程序和补丁都会经过严格的 PHA(潜在有害应用程序)筛选,但“其中一些版本控制”是通过 DCL 绕过的。
谷歌解释说,被发现参与此类活动的应用程序违反了 Google Play 欺骗行为政策 ,可能会被标记为后门。
根据该公司的 Play 政策中心指南,明确禁止通过 Google Play 分发的应用程序通过 Google Play 提供的官方更新机制以外的任何方式更改、替换或更新自身。
此外,严格禁止应用程序从外部来源下载可执行代码(例如 dex、JAR 或 .so 文件0)到官方 Android 应用商店。
谷歌还强调了一种名为SharkBot的特定恶意软件变体 ,该变体由 Cleafy 的威胁情报团队于 2021 年 10 月首次发现 ,并因在野外利用该技术而闻名。
SharkBot 是一种银行恶意软件,它会在侵入 Android 设备后通过自动转账服务 (ATS) 协议进行未经授权的转账。
为了逃避 Play 商店系统的检测,负责 SharkBot 的攻击者采用了目前常见的策略,即在 Google Play 上发布功能有限的版本,隐藏其应用程序的可疑性质。
然而,一旦用户下载了木马应用程序,它就会下载恶意软件的完整版本。
Sharkbot 伪装成 Android 防病毒软件 和 各种系统实用程序 ,并通过了 Google Play 商店恶意行为提交检查,成功感染了数千名用户。
网络安全记者 Brian Krebs 还强调了ThreatFabric 安全研究人员最近公布的 用于同一目的的不同移动恶意软件混淆技术的使用。
这种方法有效地破坏了谷歌的应用程序分析工具,阻止它们扫描恶意APK(Android应用程序包)。因此,这些有害的 APK 可以成功安装在用户的设备上。