Google Play下架13个伪装成游戏的恶意软件

“用户只是想安装卡车或者汽车类驾驶的游戏,谁能想到这些软件竟然都是恶意软件? ”

  IT 安全公司 ESET 的安全研究员 Lukas Stefanko 19日在推特上发布了推文,称他在 Google Play 上发现了恶意应用,在 Google Play 将下架之前,他所说的游戏安装次数总计超过 58 万次。

  出问题的游戏程序共有 13 款,都来自一个域名在伊斯坦布尔的应用开发者名下。用户以为自己在下载游戏,但点开后程序就会发现它莫名其妙自动崩溃。每当设备开机,恶意软件还会自动启动,“完全访问” 其网络流量,给用户带来泄露隐私的风险。

  同时有些应用会自动隐藏图标,让人无从找回卸载,但实际上它还在悄悄运行。

  

13 款游戏软件。图片来自 Lukas Stefanko 的 Twitter 截图 。
Google 发言人 Scott Westover 称这些应用违法了 Google Play 的规则,他们已经下架所有 13 款游戏。

  Google Play 去年删除了多达 70 万个恶意应用程序,比较严重的一起是,安全研究人员 Dexter Genius 发现黑客利用 Google Play 商店作为恶意软件存储仓库、上架冒牌的 WhatsApp 应用,在消息发布之前已有超过 100 万的安卓用户下载使用。

  相比于封闭的 iOS,Android 开放体系安全性一直受到质疑,Google 也在改进筛查机制和技术。自 Android 4.2 开始,Google 就在所有设备的 Google Play 中集成了 Verify Apps 解决方案,以此来检测潜在的恶意软件(Potential Harmful Apps),一旦检测到,Verify Apps 就会警告用户,提醒他们卸载软件。

  但还是有应用可以绕过 Verify Apps 的检测。2017 年 1 月,Google 公布了最新算法,在 Verify Apps 失效的情况下也能检测出恶意软件。如果一台设备的 Verify Apps 停止工作,那么这台设备就会被认为是 “死亡或者不安全”(Dead or Insecure,DOI)。在这些设备中,如果某个应用出现的概率超过某个上限,那么这个应用就被认为是 DOI 应用。

  

Google 的监测算法。图片来自 Engadget
Google 表示,相较 2016 年,2017 年拦截恶意软件的数量提升了 70%。他们还致力于改进上架前的审核机制,说含有 “恶意内容” 的软件中有 99% 都在安装之前被清理掉了。

  不过漏洞还是存在,今年 5 月,美国软件公司 Symantec 就发现有 7 个曾经被下架的恶意软件,只靠简单地更换开发者和 App 名字,就能重新在 Google Play 上架。这些恶意软件将自己伪装成谷歌产品的图标来增加真实性,或是延迟进行恶意攻击的时间(例如安装后 4 小时才生效),从而争取能更长时间留在手机里。

  苹果的 App Store 审核更严格。每一个软件开发商也会有苹果提供的代码签名证书,以确认开发者的身份、保证代码在签名后不会被恶意篡改。

//s3.pfp.sina.net/ea/ad/0/9/e0335ea879307e6e4c2e613d26501ae7.jpg
iOS 采用沙盒机制,使得每个程序之间的文件夹不能相互直接访问,应用程序若想从外部接收或向外部请求数据,必须要经过权限认证,否则无法获取数据;苹果还会定期更新 iOS 系统,使用户能获得最新安全机制的保护,以阻止旧的潜在恶意软件感染设备。

  不过 iOS 也无法完全杜绝恶意应用。2016 年,还有一款叫做 AceDeceiver 的软件,利用苹果 FairPlay DRM(数字版权管理)保护机制漏洞在 iOS 设备上安装恶意软件,不论手机是否是越狱设备。

  更难管的应用是知识产权侵犯。2017 年底 PC 游戏 Cuphead(茶杯头大冒险)在 iOS 上出现了一个冒名顶替的同名手游,开发者名称也一字不差,甚至还有官网链接。按照苹果的审核指南,开发者提交的材料中不得包含受保护的素材,比如商标、出版作品、音视频资料等等。但这套机制更有效的部分可能是事后处理,而不是审核本身,审核工作还是高度依赖员工的判断,给审核造成了巨大的麻烦。 

相关产品

评论