攻击者仍在使用"版本控制"绕过 Google Play 的恶意软件检查

来源：cnBeta 　2023-08-09 09:49:07

(资料图片)

Epic Games 等公司甚至拜登政府都曾批评苹果在 iOS 系统中保留围墙花园，不允许侧载。然而，Google最顽固的问题之一 - 版本控制机制是苹果关起门来的一个坚实理由。利用动态代码加载，黑客可以通过第三方服务器向应用商店审核过的应用提供恶意更新，而应用商店对此却无能为力。

Google网络安全行动小组（GCAT）在本月的《威胁地平线》报告中指出，Google Play 仍然存在已知的恶意软件问题。恶意应用程序开发者一直在使用"版本控制"将恶意软件上传到看似无害的应用程序中。

首先，威胁行为者向 Google Play 上传一个无害的应用程序。该软件不含恶意软件，因此在自动审核过程中不会触发标记。然后，攻击者利用动态代码加载（DCL）技术，通过自有或被入侵的服务器发送恶意更新。这样，曾经安全的应用程序就成了设备的后门，允许黑客窃取个人信息，包括用户凭据。

报告指出："使用版本控制的活动通常以用户的凭证、数据和财务为目标。在企业环境中，版本化表明需要采用深度防御原则，包括但不限于将应用程序安装源限制在 Google Play 等可信源，或通过移动设备管理 (MDM) 平台管理企业设备。"

DCL 规避基于 Play Store 的安全控制，将恶意行为修补到已安装的应用程序中。

Google知道这种攻击载体已经有一段时间了，但由于恶意软件完全绕过了 Google Play 的检查，因此很难缓解。你可能还记得大约一年前，当安全研究人员发现开发者使用 DCL 用银行木马 Sharkbot 更新程序时，Google商店下架了几款本应安全的杀毒软件。

然而，即使Google删除了这些糟糕的应用程序，最终还是会有更多的应用程序涌现出来，而由于通过其他应用程序商店的侧载，许多其他应用程序仍然可用。GCAT 的报告提到，由于 DCL 的存在，Sharkbot 仍然是Android应用程序的常见问题。有时，它会发现 Sharkbot 的版本经过修改，功能有所减少，以降低被自动检查弹出的几率。然而，功能齐全的版本可能会在第三方应用程序商店中横行。

最终，Android 终端用户或公司的 IT 管理员必须采取相应的措施。Google建议只从 Google Play 或其他可信来源下载软件。另外，Android企业版或第三方企业移动管理解决方案都有内置工具，允许管理员有选择性地管理公司设备上的应用分发。此外，Google还建议适当利用市场允许列表来帮助限制风险。

推荐DIY文章