Google Play十周年，惡意軟件泛濫問題仍懸而未決

2012年7月26日，谷歌將Android Market重新命名，變?yōu)槿缃翊蠹叶炷茉數(shù)腉oogle Play。作為整個安卓系統(tǒng)最重要、最為官方的應(yīng)用下載市場，10年來，Google Play已經(jīng)服務(wù)了來自全球190多個國家地區(qū)的25億用戶。但正所謂樹大招風(fēng)，Google Play也早已被眾多惡意軟件盯上，成為它們的集散中心。

【圖：為慶祝Google Play十周年，谷歌設(shè)計(jì)了新的標(biāo)志】

近兩年，Google Play惡意軟件泛濫的問題已經(jīng)引起了越來越多安全機(jī)構(gòu)的注意，根據(jù)2020年的一項(xiàng)調(diào)查研究，Google Play直接被確認(rèn)為是安卓設(shè)備上安裝惡意軟件的主要來源。研究人員通過對790萬款獨(dú)立應(yīng)用所涉及的3400萬個APK分析，發(fā)現(xiàn)有10%到24%可以被描述為惡意或不需要的應(yīng)用軟件。研究人員還特別研究了這些軟件的來源路徑，結(jié)果顯示，大約67%的惡意應(yīng)用軟件安裝來自Google Play。

由于Google Play惡意軟件問題越發(fā)嚴(yán)峻，安全事件頻出，F(xiàn)reeBuf曾在近期做過多次專門報道：

Facestealer

今年5月，趨勢科技揭露了一款名為Facestealer的間諜軟件，該軟件自去年7月被俄羅斯安全廠商Doctor Web發(fā)現(xiàn)以來，通過變換馬甲，偽裝成超200款應(yīng)用滲透進(jìn)Google Play，其中VPN類應(yīng)用占比最高，達(dá)42款，其次是拍照類應(yīng)用（20款）及照片編輯類應(yīng)用（13款）。

Facestealer的目的是竊取用戶Facebook賬戶的敏感信息，當(dāng)用戶登錄Facebook賬戶后，惡意軟件會搜集Cookie，并加密發(fā)送至攻擊者所在的遠(yuǎn)程服務(wù)器。

【圖：Facestealer請求用戶登錄Facebook】

Autolycos

同樣是去年，網(wǎng)絡(luò)安全公司Evina的研究人員注意到一款名為Autolycos的惡意軟件，根據(jù)批露，有8款軟件內(nèi)含Autolycos，累計(jì)下載次數(shù)超過了300萬次。作為一種新型的惡意軟件，Autolycos能夠執(zhí)行隱蔽的惡意行為，如在遠(yuǎn)程瀏覽器上執(zhí)行URL，然后將結(jié)果納入到HTTP請求中，而不是使用Webview。這種方式旨在使其行為變得更加隱蔽，也不會被受感染設(shè)備的防護(hù)措施檢測到。

Joker

Joker與Google Play的羈絆可謂最久，這是一款向用戶惡意訂閱由攻擊者控制的高級付費(fèi)服務(wù)的惡意軟件，自2017年問世以來現(xiàn)身頻繁。去年底，Joker被曝附身于一款名為Color Message的短信App內(nèi)，下載次數(shù)達(dá)到了50萬次，并在用戶神不知鬼不覺的情況下訂閱了昂貴的云計(jì)算服務(wù)。此外，它還會訪問用戶聯(lián)系人信息，并將信息發(fā)送至由攻擊者控制的境外服務(wù)器。

【圖：下載量達(dá)50萬次的Color Message】

最近，網(wǎng)絡(luò)安全公司Zscaler又在Google Play發(fā)現(xiàn)了53款含有Joker的應(yīng)用軟件，累計(jì)下載次數(shù)超過了33萬次。這些應(yīng)用一般通過冒充短信、照片編輯器、血壓計(jì)、表情符號鍵盤和翻譯應(yīng)用程序的形式出現(xiàn)，一旦用戶安裝后，應(yīng)用程序又要求提升設(shè)備的權(quán)限來進(jìn)行其它操作。

【圖：部分含有Joker的惡意軟件】

道高一尺魔高一丈

其實(shí)官方應(yīng)用市場時不時冒出惡意軟件并不是什么新鮮事，哪怕是相對封閉的蘋果macOS與iOS系統(tǒng)有時也會為之困擾，據(jù)Apple Insider的統(tǒng)計(jì)，2022年迄今已發(fā)現(xiàn)超過3400萬個新的惡意軟件樣本，其中macOS為2000個，而安卓系統(tǒng)則達(dá)到了53.6萬個，可見基于安卓系統(tǒng)自身的開放性，惡意軟件的防范難度遠(yuǎn)非macOS與iOS能夠比擬。

在上傳至Google Play時，這些惡意軟件可通過輕量化的代碼，偽裝、克隆成合法正常的應(yīng)用程序，以欺騙Google Play的安全防御檢測，即使當(dāng)受害首次下載安裝時也看不出任何端倪，而一旦獲取了用戶設(shè)備相應(yīng)的權(quán)限，這些惡意軟件才逐漸浮現(xiàn)出廬山真面目——比如通過Dropper（滴管）技術(shù)，在受害者設(shè)備上逐步部署帶有惡意功能的有效載荷。

為了盡可能多地持續(xù)性繞過檢測，這些惡意軟件也會不斷升級優(yōu)化，也會善于利用通用工具進(jìn)行混淆，比如Joker曾利用由谷歌設(shè)計(jì)的開源應(yīng)用開發(fā)工具包Flutter來逃避基于設(shè)備和應(yīng)用商店的安全檢測，它能允許開發(fā)者從一個代碼庫中為移動端、網(wǎng)絡(luò)端和桌面端制作本地應(yīng)用。由于Flutter的通用性，惡意軟件代碼也可以輕松繞過檢查。

面對惡意軟件泛濫，谷歌表示，僅在2021年就封禁了190000個惡意和垃圾郵件開發(fā)者賬戶，120萬款違反Google Play政策的應(yīng)用被刪除，但這并不表示這些刪除都是及時的。如前文所述，去年6月，網(wǎng)絡(luò)安全公司Evina發(fā)現(xiàn)了8款內(nèi)含Autolycos的惡意軟件，并隨即向谷歌做了匯報，但谷歌花了長達(dá)約半年的時間才刪除了其中的6款軟件，另外兩款直到今年7月初才被刪除。正是由于許多惡意軟件仍需要安全公司甚至用戶主動發(fā)現(xiàn)并上報，再經(jīng)過谷歌一定時間的審核確認(rèn)，導(dǎo)致不少惡意軟件在被刪除前已被下載了數(shù)萬次，在這期間，攻擊者可能已或多或少達(dá)成了他們的目的。

對于主要依靠事后刪除這種治標(biāo)不治本的做法，谷歌也嘗試過擴(kuò)大其檢測和防御手段，但這些惡意軟件的更新迭代也在不斷加快，總能找到空子趁機(jī)溜入。今年4月，谷歌通過了一系列新的開發(fā)策略，要求自2022年11月1日起，所有新發(fā)布的應(yīng)用程序必須對標(biāo)最新Android系統(tǒng)版本發(fā)布后一年之內(nèi)與之相匹配的API級別，否則將不得上架Google Play；而現(xiàn)有應(yīng)用若兩年內(nèi)未對標(biāo)相應(yīng)API級別，則會被Google Play移除。

【圖：新發(fā)布應(yīng)用的API級別定位要求】

這一變化旨在要求應(yīng)用程序開發(fā)人員采用更嚴(yán)格的API策略來支持較新的Android版本，以針對目前的安全威脅，獲得更好的權(quán)限管理和撤銷、通知反劫持、數(shù)據(jù)隱私增強(qiáng)、網(wǎng)絡(luò)釣魚檢測、屏幕啟動限制等功能。

另外一項(xiàng)政策便是收緊了“REQUEST_INSTALL_PACKAGES”權(quán)限，以針對一些應(yīng)用在上架Google Play時通過提交看似正常的代碼騙過審核，并在被下載后部署惡意模塊。該政策已于7月正式生效，適用于所有使用API級別為25(Android 7.1)及更高版本的應(yīng)用，使用此權(quán)限的應(yīng)用程序在安裝或更新時僅能獲取經(jīng)過數(shù)字簽名的數(shù)據(jù)包，且不得執(zhí)行自我更新、修改或在文件中捆綁其他APK的操作。

這些政策能給谷歌防范惡意軟件帶來多大幫助目前還不得而知，但有一點(diǎn)可以肯定，惡意軟件如同經(jīng)久不衰的DDoS以及APT攻擊，攻擊者總能找到突破口實(shí)施入侵。對于Google Play，谷歌所要做的就是盡可能地快人一步，不斷升級安全措施，及時發(fā)現(xiàn)并阻止惡意軟件，盡量減小它們對用戶構(gòu)成的威脅。