Google Play的恶意应用再感染170万台Android设备
该公司用于Android应用程序的官方存储库Google Play再次被发现托管欺诈性和潜在恶意应用程序,发现了56种以上的应用程序(其中许多用于儿童)已安装在将近170万台设备上。
Tekya是一类恶意软件,它们对包括Google的AdMob,AppLovin,Facebook和Unity在内的代理商提供的广告和横幅产生欺诈性点击。为了使点击具有真实性,经过充分处理的代码使受感染的设备使用Android的“ MotionEvent”机制来模仿合法的用户操作。安全公司Check Point的研究人员发现它们时,VirusTotal和Google Play Protect并未检测到这些应用程序。包含Tekya的应用中有24个是针对儿童的。Google在Check Point报告它们后删除了所有56个应用程序。
Check Point的研究人员Israel Wernik,Danil Golubenko和Aviran Hazum 在星期二发表的一篇文章中写道,这一发现“再次凸显了Google Play商店仍可以托管恶意应用程序” 。“该商店提供了将近300万个应用程序,每天有数百个新应用程序上载,这使得很难检查每个应用程序是否安全。因此,用户不能仅依靠Google Play的安全措施来确保其设备受到保护。”
走向本土
为了使恶意行为更难被发现,这些应用程序是使用本机Android代码编写的-通常使用C和C ++编程语言编写。Android应用程序通常使用Java来实现逻辑。该语言的界面为开发人员提供了访问多层抽象的便利。相反,本机代码是在较低级别实现的。尽管Java可以很容易地反编译(将二进制文件转换回人类可读的源代码的过程),但是使用本机代码很难做到这一点。
安装后,Tekya应用程序会注册一个广播接收器,该广播接收器执行多种操作,包括:
- BOOT_COMPLETED允许代码在设备启动(“冷”启动)时运行
- USER_PRESENT,以便检测用户何时正在积极使用设备
- QUICKBOOT_POWERON允许设备重启后运行代码
接收方的唯一目的是将本地库'libtekya.so'加载到每个应用程序.apk文件内的librarys文件夹中。Check Point帖子提供了有关代码工作方式的更多技术细节。Google代表确认该应用已从Play中删除。
可是等等 。。。还有更多
另外,反病毒提供商Dr.Web周二报告称,发现了数量不详的Google Play应用,下载次数超过700,000次,其中包含被称为Android.Circle.1的恶意软件。该恶意软件使用了基于BeanShell脚本语言的代码, 并结合了广告软件和点击欺诈功能。该恶意软件经过18处修改,可用于执行网络钓鱼攻击。
Dr.Web帖子并未列出所有包含Android.Circle.1的应用程序的名称。识别出的少数应用程序是:墙纸黑色-深色背景,星座运势2020-十二生肖,甜蜜相遇,卡通相机和泡泡射击。Google删除了Dr.Web报告的所有应用程序。同时,Check Point发现的56个应用程序位于周二的Check Point帖子中,该帖子再次位于此处。
Android设备通常在被发现具有恶意功能后便会卸载它们,但该机制并非始终能够按预期运行。读者可能需要检查其设备,以查看是否已被感染。与往常一样,读者应在安装的应用程序中高度选择。毫无疑问,Google扫描会检测到提交给Play的恶意应用程序的很大一部分,但仍有大量用户继续感染绕过这些检查的恶意软件。
Google Play的恶意应用再感染170万台Android设备:等您坐沙发呢!