Google Play应用程序下载量达50万次，为用户订阅昂贵的服务

在过去的十年里，黑客和Google Play陷入了一场紧张的舞蹈。黑客将恶意软件潜入谷歌拥有的Android应用程序存储库。谷歌把它扔了出去，并开发了防御措施，以防止这种情况再次发生。然后，黑客们找到了一个新的开口，并从头再来一遍。这两个步骤再次上演，这一次是一个被称为小丑的恶意软件家族，它至少从2017年就开始渗透到Play中。

小丑是隐藏在看似合法的应用程序中的恶意代码。它通常在应用程序安装后等待几个小时或几天才能运行，试图逃避谷歌的自动恶意软件检测。周四，安全公司Check Point的研究人员表示，小丑再次发动袭击，这一次潜伏在11个看似合法的应用程序中，从Play下载了约50万次。一旦激活，恶意软件就允许这些应用程序秘密向用户订阅昂贵的高级服务。

新的变种发现了一个不会被发现的新把戏-它将恶意有效载荷隐藏在所谓的清单中，这是谷歌要求每个应用程序都包括在其根目录中的文件。Google的目的是通过使权限、图标和其他有关应用程序的信息易于查找，从而使XML文件提供更高的透明度。

小丑开发人员找到了一种方法来利用清单对他们有利。他们的应用程序包括用于合法操作的良性代码，例如在安装文件的预期部分发送短信或显示图像。然后，他们将恶意代码隐藏在清单的元数据中。

开发人员又增加了两层隐形设备。首先，恶意代码存储在人类不可读的base64编码字符串中。其次，在谷歌评估这些应用程序期间，恶意负载将保持休眠状态。只有在应用程序获得批准后，小丑代码才会加载和执行。在Check Point报告这些应用程序后，谷歌将其删除。

今年1月，谷歌发布了一份关于面包(小丑的别名)的详细描述，列举了它绕过防御的许多方法。该帖子称，谷歌的自动扫描服务Play Protect在下载Play Store之前，已经检测到并从Play Store中删除了1700个独特的应用程序。Checkpoint发现了一批新的下载了50万次的应用程序，这突显了Play Protect的局限性。

Check Point移动研究经理阿维兰·哈扎姆(Aviran Hazum)在一封电子邮件中写道：“我们最新的发现表明，谷歌Play商店的保护措施是不够的。”“我们每周都能检测到许多小丑上传到Google Play的案例，所有这些都是由毫无戒心的用户下载的。尽管谷歌投资增加了Play Store的保护功能，但小丑恶意软件很难检测到。虽然谷歌将恶意应用程序从Play Store中移除，但我们完全可以期待小丑再次适应。“。

为了防止检测，早期的Joker变体通常在应用程序安装后从命令和控制服务器获取恶意有效负载-以动态加载的dex文件的形式。随着谷歌防御能力的提高，这种方法变得不那么有效了。开发人员的解决方案是将dex文件以base64字符串的形式存储在清单中。要激活有效载荷，只需从控制服务器确认活动处于活动状态。Check Point还发现了另一个Joker变体，它将Base 64字符串隐藏在主应用程序的内部类中。

任何安装了这些应用程序的人都应该检查他们的账单上是否有未确认的费用。

到目前为止，大多数读者都知道Android应用程序的安全建议很冷淡。最重要的是，用户应该谨慎地安装应用程序，只有在它们提供了真正的好处或确实有必要的时候才安装。在可能的情况下，用户应该青睐来自知名开发者的应用程序，或者至少是那些拥有网站或其他历史记录的应用程序，这些网站或其他历史表明他们不是一个靠不住的操作。人们应该定期检查安装了哪些应用程序，并删除任何不再使用的应用程序。