Google旗下官方Android应用程序库Google Play再次被发现托管许多诈骗与潜在性恶意App,经调查发现超过56款App(有许多App适用儿童)安装在近170万台设备。
Tekya是有一系列家族的恶意软件,会在Google AdMob、AppLovin、Facebook和Unity等机构发出的广告及横幅式广告产生诈骗式点击(Fraudulent Click)。为了使这些点击给人真实合法的感受,经最佳模糊化的程序代码会促使感染的设备通过Android“MotionEvent”事件处理机制,模拟合法的用户行为。
安全公司Check Point研究人员发现这些恶意App时,VirusTotal和Google Play Protect并未侦测到。其中24款专门给儿童用的App发现内置Tekya病毒。Google接获Check Point通报后删除了所有56款App。
这发现“再次突显Google Play商店仍不时上架许多恶意App”。Check Point研究人员Israel Wernik、Danil Golubenko和Aviran Hazum在24日发布的贴文写道:“Google Play提供近300万款App,光每天就有数百款全新App上架,这使检查每款App是否安全的例行性工作更困难。因此,用户绝对不能只靠Google Play的安全措施确定设备受保护。”
通过原生码编写规避侦测
为了让恶意行为更难侦测,这些恶意App会使用原生Android码编写(通常使用C和C ++ 程序语言编写)。Android App通常使用Java执行逻辑。语言接口提供开发人员访问多层抽象化的便利性,相反的,原生码会在更低端层执行。尽管Java很容易反编译(将二进制码转换回人类可读之源码的程序),但通过原生码很难做到这点。
一旦安装Tekya App,App会注册广播接收器(Broadcast Receiver),并执行以下多种操作:
此广播接收器的唯一目的是为了将原生函数库“libtekya.so”加载每款App .apk档内的“libraries”文件夹。Check Point贴文提供有关此程序代码运行方式的更多技术细节。Google官方代表确认此App已从Play商店移除。
恶意软件的App下载70多万次
再者,杀毒方案供应商Dr.Web于24日安全报告指出,发现数量不详的Google Play App潜藏名为Android.Circle.1的恶意软件,这些App下载超过70万次。此恶意软件使用基于BeanShell脚本语言的程序代码,并结合广告软件和点击诈骗(Click-Fraud)功能。这款经过18次变种修改的恶意软件可用来发动网络钓鱼攻击(Phishing Attack)。
Dr.Web贴文并未列出所有内置Android.Circle.1病毒的App名称。少数确认的App包括Wallpaper Black(Dark Background)、Horoscope 2020(Zodiac Horoscope)、Sweet Meet、Cartoon Camera与Bubble Shooter。Google已将Dr.Web通报的所有App删除。同时Check Point发现的56款App也清楚详列于Check Point贴文。
Android设备通常会在发现App感染恶意软件后卸载,但机制并非始终按预期运行。读者可能需要检查自己的设备,以查看是否感染病毒。一如既往,读者应该能对安装的App拥有高度选择性。虽然毫无疑问,Google扫描机制可侦测到大量已提交Play商店的恶意App,但仍有大量用户持续遭避开这些检查机制的恶意软件感染。
(首图来源:Google Play)