2022年，卡巴斯基檢測到1661743個(gè)針對移動(dòng)用戶的惡意軟件或流氓軟件安裝程序，雖然這類安裝程序最常見的傳播方式是通過第三方網(wǎng)站和可疑的應(yīng)用商店，但它們的開發(fā)者偶爾也會(huì)設(shè)法將其上傳到Google Play等官方商店。

這些應(yīng)用程序通常會(huì)受到嚴(yán)格監(jiān)管，并且在發(fā)布前會(huì)經(jīng)過預(yù)審核。然而，惡意和流氓軟件開發(fā)者使用了各種技巧來繞過平臺檢查。例如，他們可能會(huì)上傳一個(gè)良性的應(yīng)用程序，然后用惡意或可疑的代碼進(jìn)行更新，以感染新用戶和已經(jīng)安裝該應(yīng)用程序的用戶。這些惡意應(yīng)用程序一被發(fā)現(xiàn)就會(huì)從Google Play中刪除，但它們通常都是在下載多次之后才會(huì)被發(fā)現(xiàn)。

在收到用戶投訴稱“Google Play上出現(xiàn)許多惡意和流氓應(yīng)用程序”之后，卡巴斯基研究人員決定調(diào)查一下這些惡意軟件在暗網(wǎng)上的供求情況。分析這種威脅是如何產(chǎn)生的尤為重要，因?yàn)樵S多網(wǎng)絡(luò)犯罪分子經(jīng)常以團(tuán)隊(duì)合作的方式，買賣Google Play賬戶、惡意軟件、廣告服務(wù)等等。這是一個(gè)完整的地下產(chǎn)業(yè)鏈，有自己的規(guī)則、市場價(jià)格和聲譽(yù)機(jī)構(gòu)，卡巴斯基在一份報(bào)告中進(jìn)行了概述。

重要發(fā)現(xiàn)

• 能夠向Google Play交付惡意或流氓應(yīng)用程序的加載程序價(jià)格通常在2000美元到20000美元之間。
• 為了盡可能保持匿名，很大一部分攻擊者嚴(yán)格通過論壇和聊天工具（例如Telegram）上的私信進(jìn)行談判。
• 隱藏惡意和流氓軟件最流行的應(yīng)用程序類別包括加密貨幣跟蹤器、金融應(yīng)用程序、二維碼掃描儀，甚至約會(huì)應(yīng)用程序。
• 網(wǎng)絡(luò)犯罪分子主要接受三種付款方式：一定比例的最終利潤、訂閱費(fèi)或租金以及一次性支付。
• 網(wǎng)絡(luò)犯罪分子推出谷歌廣告，以吸引更多人下載惡意和流氓應(yīng)用程序。廣告的成本取決于目標(biāo)國家，其中，針對美國和澳大利亞用戶的廣告費(fèi)用最高。

暗網(wǎng)上提供的惡意服務(wù)類型

與合法的在線市場一樣，暗網(wǎng)上也為不同需求和預(yù)算的客戶提供各種優(yōu)惠。例如，下面的優(yōu)惠列表截圖就介紹了針對Google Play用戶可能需要的不同商品和服務(wù)的價(jià)格。

【一家暗網(wǎng)服務(wù)提供商稱這些價(jià)格太高，并指出他們以更低的價(jià)格出售同樣的服務(wù)】

攻擊者購買的主要產(chǎn)品是開發(fā)人員的Google Play帳戶，這些帳戶可以被網(wǎng)絡(luò)罪犯入侵或注冊，以及幫助買家將其創(chuàng)作上傳到Google Play各種工具的源代碼中。此外，暗網(wǎng)上還提供VPS（售價(jià)300美元）或虛擬專用服務(wù)器等服務(wù)，攻擊者可以使用這些服務(wù)來控制受感染的手機(jī)或重定向用戶流量，以及基于網(wǎng)絡(luò)的注入。網(wǎng)絡(luò)注入是一種監(jiān)控受害者活動(dòng)的惡意功能，如果受害者打開了攻擊者感興趣的網(wǎng)頁，注入器就會(huì)將其替換為惡意網(wǎng)頁。這種功能的售價(jià)為25-80美元/個(gè)。

Google Play加載程序

攻擊者出售最多的是Google Play加載程序，其目的是將惡意或流氓代碼注入Google Play應(yīng)用程序。然后，該應(yīng)用程序會(huì)在Google Play上更新，受害者可能會(huì)將惡意更新下載到他們的手機(jī)上。根據(jù)注入到應(yīng)用中的具體內(nèi)容，用戶可能會(huì)獲得更新的最終有效載荷，或者收到通知，提示他們啟用未知應(yīng)用的安裝，并從外部來源安裝它。

在后一種情況下，除非用戶同意安裝額外的應(yīng)用程序，否則通知不會(huì)消失。安裝應(yīng)用程序后，用戶會(huì)被要求授權(quán)訪問手機(jī)的關(guān)鍵數(shù)據(jù)，如輔助服務(wù)、攝像頭、麥克風(fēng)等權(quán)限。受害者可能無法使用原始的合法應(yīng)用程序，直到他們授予執(zhí)行惡意活動(dòng)所需的權(quán)限。一旦所有請求的權(quán)限都被授予，用戶最終能夠使用應(yīng)用程序的合法功能，但與此同時(shí)，他們的設(shè)備也會(huì)受到感染。

為了說服買家購買其開發(fā)的加載程序，網(wǎng)絡(luò)犯罪分子有時(shí)會(huì)提供視頻演示，并向潛在客戶發(fā)送演示版本。在加載程序功能中，他們的開發(fā)者可能會(huì)強(qiáng)調(diào)用戶友好的UI設(shè)計(jì)、簡單易用的控制面板、目標(biāo)國家過濾器以及對最新Android版本的支持等等。網(wǎng)絡(luò)犯罪分子還可能在木馬程序中添加檢測調(diào)試器或沙箱環(huán)境的功能。如果檢測到可疑環(huán)境，加載程序可能會(huì)停止操作，或通知開發(fā)者“它可能已被安全調(diào)查人員發(fā)現(xiàn)”。

【Google Play加載程序是暗網(wǎng)上最受歡迎的Google Play威脅產(chǎn)品】

加載程序的開發(fā)者通常會(huì)指定加載程序所用的合法應(yīng)用程序的類型。惡意軟件和流氓軟件經(jīng)常被注入加密貨幣跟蹤器、金融應(yīng)用程序、二維碼掃描儀甚至約會(huì)應(yīng)用程序。網(wǎng)絡(luò)犯罪分子還會(huì)強(qiáng)調(diào)目標(biāo)應(yīng)用程序合法版本的下載量，這意味著有很多潛在受害者會(huì)通過使用惡意或流氓代碼更新應(yīng)用程序而受到感染。最常見的情況是，賣家承諾在下載量達(dá)到或超過5000次的應(yīng)用程序中注入代碼。

【網(wǎng)絡(luò)犯罪分子出售將代碼注入加密貨幣跟蹤器的Google Play加載程序】

綁定服務(wù)

暗網(wǎng)上另一個(gè)常見的服務(wù)是綁定服務(wù)。從本質(zhì)上講，這些程序與Google Play加載程序所做的事情完全相同——在合法應(yīng)用程序中隱藏惡意或流氓APK文件。然而，與加載程序不同的是，綁定服務(wù)會(huì)將惡意代碼插入到不一定適合官方Android市場的應(yīng)用程序中。通常情況下，使用綁定服務(wù)創(chuàng)建的惡意和流氓應(yīng)用程序通過釣魚短信、帶有破解游戲和軟件的可疑網(wǎng)站等方式傳播。

由于綁定服務(wù)的成功安裝率低于加載程序，因此兩者在價(jià)格上有很大差異：加載程序的成本約為5000美元，而綁定服務(wù)的成本通常為每個(gè)文件50 - 100美元。

【賣家對綁定服務(wù)的描述】

賣家廣告中列出的綁定服務(wù)的優(yōu)勢和功能通常與加載程序相似。不過，Binder（一種進(jìn)程間通信機(jī)制）通常缺乏與Google Play相關(guān)的功能。

惡意軟件混淆服務(wù)

惡意軟件混淆的目的是通過使惡意代碼復(fù)雜化來繞過安全系統(tǒng)。在這種情況下，買方要么為處理單個(gè)應(yīng)用程序付費(fèi)，要么為訂閱付費(fèi)，例如，每月付費(fèi)一次。服務(wù)提供商甚至可能為購買套餐提供折扣。例如，其中一個(gè)供應(yīng)商提供50個(gè)文件的混淆服務(wù)，售價(jià)為440美元。而同一提供商僅處理一個(gè)文件的成本約為30美元。

【Google Play威脅混淆服務(wù)售價(jià)為50美元一個(gè)文件】

安裝

為了增加惡意應(yīng)用程序的下載量，許多攻擊者通過谷歌廣告來增加銷路。與其他暗網(wǎng)服務(wù)不同，這項(xiàng)服務(wù)是完全合法的，并被用于吸引盡可能多的應(yīng)用程序下載——無論它是仍然合法的應(yīng)用程序還是已被感染的應(yīng)用程序。安裝成本取決于目標(biāo)國家。平均價(jià)格為0.5美元，具體報(bào)價(jià)從0.1美元到1美元不等。其中，針對美國和澳大利亞用戶的廣告成本最高，為0.8美元。

【賣方指定了每個(gè)國家的安裝價(jià)格】

其他服務(wù)

暗網(wǎng)賣家還提供為買家發(fā)布惡意或流氓應(yīng)用程序的服務(wù)。在這種情況下，買家不會(huì)直接與Google Play互動(dòng)，但可以遠(yuǎn)程接收應(yīng)用程序活動(dòng)的成果，例如，被其竊取的所有受害者數(shù)據(jù)。

平均價(jià)格和常見銷售規(guī)則

卡巴斯基研究人員分析了暗網(wǎng)廣告中提供Google Play相關(guān)服務(wù)的價(jià)格，發(fā)現(xiàn)賣家可以接受不同的支付方式。這些服務(wù)可以按最終利潤分成提供，也可以以一次性價(jià)格出租或出售。一些賣家還會(huì)舉辦商品拍賣：由于出售的商品數(shù)量有限，買家可能愿意為它們競價(jià)。例如，在研究人員發(fā)現(xiàn)的一次拍賣中，Google Play加載程序的起拍價(jià)是1500美元，以200美元起增，最終以7000美元成交。

【賣家拍賣一個(gè)Google Play加載程序】

當(dāng)然，7000美元的競價(jià)并非最高記錄。研究人員在暗網(wǎng)論壇上觀察到的加載程序價(jià)格大多在2000美元到20000美元之間，具體取決于惡意軟件的復(fù)雜性、新穎性和流行性，以及附加功能。加載程序的平均價(jià)格是6975美元。

【Google Play加載程序的平均報(bào)價(jià)示例】

然而，如果網(wǎng)絡(luò)犯罪分子想要購買加載程序源代碼，價(jià)格會(huì)立即飆升，達(dá)到價(jià)格范圍的上限。

【開發(fā)者以20000美元的價(jià)格提供Google Play加載程序源代碼】

與加載程序不同，Google Play開發(fā)者帳戶（無論是被黑客入侵的還是由攻擊者新創(chuàng)建的）都更為實(shí)惠，通常只需60-200美元，具體價(jià)格取決于帳戶功能，如已發(fā)布的應(yīng)用程序數(shù)量、下載數(shù)量等。

【用戶想購買一個(gè)可以訪問開發(fā)者電子郵件的Google Play帳戶】

除此之外，研究人員還在暗網(wǎng)上發(fā)現(xiàn)了許多想要以特定價(jià)格購買特定產(chǎn)品或服務(wù)的信息。

【網(wǎng)絡(luò)罪犯正在尋找新的Google Play加載程序】

交易過程

暗網(wǎng)上的賣家提供了全套不同的工具和服務(wù)。為了保持隱身，很大一部分攻擊者會(huì)嚴(yán)格通過暗網(wǎng)論壇或社交網(wǎng)絡(luò)和通訊工具（如Telegram）上的私信進(jìn)行談判。

服務(wù)提供商似乎可以輕易地欺騙買家，并從他們的應(yīng)用程序中獲利。通常情況也確實(shí)如此。然而，在暗網(wǎng)賣家中，維護(hù)自己的聲譽(yù)、承諾擔(dān)?；蛟趨f(xié)議條款履行后接受付款也很常見。為了降低交易風(fēng)險(xiǎn)，賣家經(jīng)常求助于中介機(jī)構(gòu)（如托管服務(wù)或中間商）。托管可能是一種特殊服務(wù)，由影子平臺或?qū)灰捉Y(jié)果不感興趣的第三方支持。然而，請注意，在暗網(wǎng)上，沒有什么能100%消除被騙的風(fēng)險(xiǎn)。

結(jié)語和建議

從暗網(wǎng)上此類威脅的供求量來推斷，未來威脅的數(shù)量只會(huì)增長，而且會(huì)變得更加復(fù)雜和先進(jìn)。

防御建議：

• 不要啟用未知應(yīng)用程序的安裝。如果某個(gè)應(yīng)用程序催促你這樣做，它很可能被感染了。如果可能，請卸載該應(yīng)用程序，并使用防病毒軟件掃描設(shè)備。
• 檢查使用的應(yīng)用程序權(quán)限，并在授予不需要的權(quán)限之前仔細(xì)考慮，特別是在涉及高風(fēng)險(xiǎn)權(quán)限時(shí)。例如，手電筒應(yīng)用唯一需要的權(quán)限就是使用手電筒。
• 使用可靠的安全解決方案，有助于在惡意應(yīng)用程序和廣告軟件在設(shè)備上出現(xiàn)不當(dāng)行為之前發(fā)現(xiàn)它們。
• 只要更新可用，務(wù)必及時(shí)更新操作系統(tǒng)和重要的應(yīng)用程序。要確保應(yīng)用程序更新是良性的，請?jiān)诎踩鉀Q方案中啟用自動(dòng)系統(tǒng)掃描，或在安裝更新后立即掃描設(shè)備。

對于組織來說，有必要使用強(qiáng)密碼和雙因素身份驗(yàn)證來保護(hù)其開發(fā)人員帳戶，并監(jiān)控暗網(wǎng)以盡早檢測和緩解憑據(jù)泄漏風(fēng)險(xiǎn)。

原文鏈接：https://securelist.com/google-play-threats-on-the-dark-web/109452/