谷歌云安全團(tuán)隊(duì)近日表示，惡意行為者在躲過Google Play商店的審查流程和安全控制后，會(huì)使用一種被稱為版本控制的常見策略，在Android設(shè)備上植入惡意軟件。

該技術(shù)通過向已安裝的應(yīng)用程序提供更新來引入惡意有效負(fù)載，或者通過所謂的動(dòng)態(tài)代碼加載(DCL)從威脅參與者控制的服務(wù)器加載惡意代碼。

它允許攻擊者繞過應(yīng)用商店的靜態(tài)分析檢查，在Android設(shè)備上以原生、Dalvik或JavaScript代碼的形式部署有效負(fù)載。

谷歌在今年的威脅趨勢(shì)報(bào)告中提到：惡意行為者試圖規(guī)避 Google Play 安全控制的一種方式是版本控制。

比如，開發(fā)者會(huì)在Google Play應(yīng)用商店發(fā)布一個(gè)看似合法并通過谷歌檢查的應(yīng)用程序初始版本，但隨后用戶會(huì)收到來自第三方服務(wù)器的更新提示，這時(shí)候終端用戶設(shè)備上的代碼會(huì)被改變，這樣威脅者就可以實(shí)施惡意活動(dòng)，從而實(shí)現(xiàn)版本控制。

谷歌表示，所有提交到 Play Store 的應(yīng)用程序和補(bǔ)丁都要經(jīng)過嚴(yán)格的 PHA（潛在有害應(yīng)用程序）篩選，但 "其中一些控制 "被 DCL 繞過。

Play Store通過版本控制繞過安全控制（圖源：Google）

谷歌方面表示：此類活動(dòng)的應(yīng)用程序違反了Google Play欺騙行為政策，可能被貼上后門標(biāo)簽。

根據(jù)該公司的 Play Policy Center 指導(dǎo)方針，通過 Google Play 發(fā)布的應(yīng)用程序禁止通過 Google Play 提供的官方更新機(jī)制以外的任何方式進(jìn)行更改、替換或更新。

此外，應(yīng)用程序嚴(yán)禁從外部資源下載可執(zhí)行代碼（如 dex、JAR 或 .so 文件0）到官方 Android 應(yīng)用商店。

谷歌還強(qiáng)調(diào)了一種名為 SharkBot的惡意軟件變種，該軟件最早由 Cleafy 的威脅情報(bào)團(tuán)隊(duì)于 2021 年 10 月首次發(fā)現(xiàn)。SharkBot 是一種銀行惡意軟件，在入侵安卓設(shè)備后會(huì)通過自動(dòng)轉(zhuǎn)賬服務(wù)（ATS）協(xié)議進(jìn)行未經(jīng)授權(quán)的轉(zhuǎn)賬。

為了躲避 Play Store 系統(tǒng)的檢測(cè)，SharkBot 的威脅制造者采用了一種現(xiàn)在常見的策略，即在 Google Play 上發(fā)布功能有限的版本，掩蓋其應(yīng)用程序的可疑性質(zhì)。

然而，一旦用戶下載了木馬應(yīng)用程序，就會(huì)下載完整版的惡意軟件。

Sharkbot 偽裝成安卓殺毒軟件和各種系統(tǒng)實(shí)用程序，通過 Google Play 商店的惡意行為提交檢查，成功感染了成千上萬的用戶。

網(wǎng)絡(luò)安全記者Brian Krebs強(qiáng)調(diào)了 ThreatFabric 安全研究人員最近公布的一種不同的移動(dòng)惡意軟件混淆技術(shù)。這種方法能有效破解谷歌的應(yīng)用程序分析工具，使其無法掃描惡意 APK（安卓應(yīng)用程序包）。因此，盡管這些有害的 APK 被標(biāo)記為無效，仍能成功安裝到用戶的設(shè)備上。