据外媒报道,安全公司Palo Alto
Networks近期在Google Play应用商店中发现了
132款恶意软件,不过奇怪的是,这些应用包含的恶意代码给用户下载的却是Windows 恶意软件,对Android平台并不起影响。

恶意软件作恶事件频发,让一贯实施宽松监管政策的谷歌按捺不住了。
  日前,谷歌向外界宣布,将对谷歌应用商店Google
Play实施新的政策,对应用开发及推广政策的等方面进行大幅调整,希望通过强力整顿,一改Google
Play杂乱无序、野蛮生长之局面。
  据谷歌透露,公司将围绕”开发人员应用政策”作出调整,而支付政策、应用命名、隐私安全等均属于调整范畴。谷歌管理团队警告开发人员,对于违反新规定的应用,公司将会给予30天的豁免期,逾期未作出修改的,谷歌将有权拒绝发布该应用。
  随着Google
Play的快速发展,一些恶意软件也乘虚而入,严重侵害了用户的利益。现在,谷歌竖起正义之刀,砍向恶意软件。
  在去年短短的4个月时间内,出现在谷歌应用商店中的恶意软件数量增长了472%。
  恶意软件肆虐
  2008年8月诞生的谷歌应用商店–Android
Market给谷歌带来了与苹果一战的勇气,但令它意想不到的问题也随之而来。
  成立之初,谷歌为了区别与苹果iOS操作系统,也仿照苹果的App
Store应用商店成立了自己的Android
Market.如何在短时间内让用户了解,获得消费者的青睐?谷歌剑走偏锋,采取了与苹果相左的做法–与前者严格的审查程序相比,谷歌的预审机制几乎可以忽略。
  谷歌的做法是,应用商店中的应用是否应该被清除的选择权在于用户反映。如果某一个应用被用户群起投诉,谷歌才会去查看。而在以严格着称的App
Store,任何应用的上架都要屈服于苹果威严的审核法则,再经过苹果专门的团队筛滤。乔布斯曾经对此调侃道,如果你想看色情内容,请购买一部Android手机。
  但这一做法却让谷歌迅速崛起,其增长速度令人瞠目结舌。在今年举行的谷歌全球开发者大会上,谷歌宣布应用商店中的各种应用数量达到60万个,与苹果应用商店的65万个应用数量十分接近,大有赶超苹果App
Store之势。
  对于谷歌的这一成绩,业内将其归功于谷歌对开发者发布应用的宽松政策。”谷歌目的是先把应用程序数量冲上去,有点像BBS论坛的灌水。这一策略让谷歌成功了,过去一年的爆发式增长印证了这一现象。”有互联网分析师说,”但成长的代价是,谷歌应用商店中潜藏的恶意软件让用户深感痛绝。”
  7月12日,赛门铁克曾就谷歌应用商店的安全问题发布预警,声称Google
Play应用商店中的一个Android恶意软件,伪装成《超级马里奥兄弟》和《侠盗猎车手3:罪恶都市》等游戏应用来骗取用户下载。据了解,这个恶意软件可以劫持用户手机来发送高价短信,它于6月24日被人上传至Google
Play,已有10万名用户中招。
  而安全公司Trend
Micro统计发现,Android恶意软件正以惊人的速度增长。其年初调查时发现Android平台上存在约5000个恶意应用程序。半年过去后,这数字上升至20000个,增长了4倍。预计到今年第四季度,数据将增长至130000个。
  Trend
Micro的调查显示,有很多恶意应用被下载超过700,000次,这才引起谷歌警惕,并予以删除。有人指责是谷歌”无能”,才让恶意软件肆虐。
  Trend Micro安全研究与通讯部门负责人Rik
Ferguson称:”如果谷歌不以此为警惕,一个可怕的现实是Android平台恶意软件肆虐情况将持续蔓延。”
  严厉整顿
  对应用商店寄予厚望的谷歌,不希望成长起来的果实被恶意软件吞噬。一场整顿风暴也就此拉开。
  事实上,谷歌对应用商店中的恶意软件并不手软。从去年开始,Android开发者社区的会员就发现,Android
Market已开始对应用程序有取缔行为,只是动作低调,在悄悄进行,才未能让外界知悉更多的消息。
  事实证明,这一整顿方式并不奏效。据Juniper
Networks公布的调研数据显示,去年7月至11月,出现在Android
Market上的恶意软件数量增长了472%.谷歌只能另谋他法。于是在今年2月,它为应用商店添加了一个名为”保镖”(Bouncer)的全新安全防护措施,它可以对应用程序进行扫描,以查找恶意软件。
  对此,谷歌副总裁希罗什·洛克海默尔表示,这项技术可以自动扫描新应用和现有应用,以及应用开发者的账户,但”不会破坏应用商店的用户体验或要求开发者提交应用批准程序”.
  据他介绍,保镖的工作方式是一旦有应用上传,它会立即根据已知的恶意软件、间谍软件、木马病毒启动分析。此外,它还可以根据软件的运行路径,确定该应用是否具有不当之处,并与此前分析过的应用进行对比,查找潜在的危险因素。
  但道高一尺,魔高一丈。今年曾造成10万人中招的恶意软件Android.Dropdialer,它就成功地躲开了谷歌保镖的巡查。它的做法是采用分阶段载荷的方式,这是黑客研究出来的避开谷歌自动扫描工具保镖检测的技术。
  赛门铁克研究员Irfan
Asrar介绍说,恶意软件采用这个方法的好处是,能排除用户安装时可能出现的警报,其次是较小的恶意代码碎片能更容易地被注入其他应用并自我隐藏。最后的结果证明,恶意软件成功了–它成功在Google
Play中存活两个多星期。
  怎样才能遏制恶意软件的最低存活期?经过数次较量后,谷歌终于生气了,决定对先前实行的政策进行调整,从根本上维护应用商店的干净。据谷歌出台的新政策,以后所有与Ggoogle
Play应用程序相关的交易,无论是下载应用或者是应用内消费,都必须使用谷歌自己的支付系统。
  此外,在Android应用商店发布的应用,如果未获得其他公司或组织的授权,开发者不得在应用中谎称已经获得授权。开发者在发布新应用时,使用的名称与图标也不能与现有产品相似,以避免产生混淆。
  在隐私安全方面,谷歌要求开发者发布的应用程序不得传播任何病毒、恶意软件或其他可能带来安全隐患的内容。谷歌同时规定,重复内容、具有欺骗性的产品介绍、虚假评级或自动工具制作等应用程序均属于垃圾邮件,对于这类应用程序,Android应用商店将拒绝接收。
  如此严厉的整顿,对于一向坚持开放的谷歌来说尚是首次。
  狙击苹果
  谷歌调整应用商店的政策,目的是为了更好地控制Android应用商店中的应用程序,并提高应用质量,提高与苹果的竞争力。
  虽然谷歌应用数量上升速度快,但由于应用缺乏质量,以及盗版泛滥,其在营收上与苹果、亚马逊应用商店相比,明显处于弱势。在今年召开的谷歌全球开发者大会上,游戏开发商Madfinger当众宣布,因盗版严重,公司不得不将旗下枪战游戏《Dead
Trigger》Android版本的售价从原本的0.99美元变为免费。据多家厂商披露的数字证实,Android的盗版情况不容乐观,许多应用的盗版率甚至达到90%!
  应用程序开发商赚不到钱,也意味着谷歌赚不到钱。去年2月,IHS
Screen Digest发布了一组数据显示:2010年,运行在Android
Market的付费应用为谷歌带来1.02亿美元,同年运行在App
Store的付费应用程序则为苹果带来17.82亿美元。
  来自美国的移动分析公司Flurry曾对苹果、亚马逊、谷歌三大应用商店的一系列顶级应用进行调查,发现苹果App
Store应用商店的单位用户营收是谷歌Google Play的5倍。
  Flurry将苹果iTunes应用商店的营收设置为100%,然后再拿它和亚马逊、谷歌的应用商店作对比。结果显示,亚马逊应用商店的营收相当于苹果应用商店营收的89%,谷歌应用商店则为苹果的23%.通俗理解的话,如果苹果每个iOS应用营收为1美元,那么亚马逊应用就将获得89美分的营收,Google
Play获得23美分营收。
  导致谷歌处于下风的关键就在于其应用商店的环境,这也是谷歌此次强力整顿的原因所在。它的目的在于遏制Google
Play失控的局面,树立良好的口碑形象,在现有的基础上吸引更多优秀开发者的入驻。
  事实上,谷歌为了与苹果对抗,在今年3月还进行了一项调整,它将谷歌音乐、谷歌视频、谷歌图书、Android应用商店全面整合,统一命名为Google
Play.现在,Google
Play涵盖了应用程序、电影、音乐、电子书等所有可下载内容。目前,Google
Play里有超过2万首音乐,超过60万个Android应用和游戏,是全球最大的电子书市场。
  谷歌不断扩展Android
Market上的商品种类,将电子书、音乐和视频都添加进来,瞄准对手苹果和亚马逊。而现在,谷歌针对应用商店展开的大动作,目标更是直指苹果。尤其是在其应用数量即将与苹果持平的情况下,谷歌与苹果叫板的欲望也就更强烈。
  谷歌能否胜出很难预测,但它正朝苹果扣响扳机

图片 1

2017年9月13日,Palo Alto Networks Unit 42 研究人员发布了关于影响 Google
Android 平台的新型高严重性漏洞的详细信息。2017 年 9 月 Android
安全公告中提供了用于修复该漏洞的补丁。这种新型漏洞不会影响最新版本
Android 8.0 Oreo,但会影响所有之前的 Android
版本。某些恶意软件会通过本文列出的一些途径进行漏洞利用,但 Palo Alto
Networks Unit 42 目前并未发现针对这一特定漏洞进行的任何攻击。由于
Android 8.0 版本相对较新,这意味着几乎所有 Android
用户都应立即采取行动,安装针对此漏洞的更新。

据了解,这132个App由7位开发者开发,已经在Google
Play应用商店上架,这就意味着这些软件是通过了谷歌的相关审查,也或许是存在漏洞。安全人员对这些应用解析后发现,这些应用部署了Android
Webview静态HTML页面,但是却暗藏能够连接到存在恶意行为域名的IFrame。只要用户不小心在应用程序中点击了页面,就会链接域名下载恶意软件。

我们的研究人员发现利用该漏洞能够更容易发起“覆盖攻击”,这是一种针对
Android 平台的已知攻击类型。此类攻击最有可能用于在用户的 Android
设备上安装恶意软件,还可用于使恶意软件完全控制设备。在最坏的情况下,该漏洞可导致手机无法使用(即“变砖”)或安装任意恶意软件,包括但不限于勒索软件或信息窃取程序。简单说来,该漏洞可用于控制、锁定被攻击设备并在之后窃取信息。

图片 2

在“覆盖攻击”中,攻击者的应用会在设备上运行的其他窗口和应用上绘制(或者说“覆盖”)一个窗口。如果得逞,则攻击者将会诱骗用户,使其将自己点击的入侵窗口当作正常窗口。在图
1
的示例中,攻击者让用户以为自己是在通过单击来安装补丁,但实际上用户单击后会授予
Porn Droid 恶意软件对设备的完全管理员权限。

图片 3

图片 4

当然,下载的都是针对Windows平台的恶意软件,对Android设备根本不起作用,因此安全公司推测可能是开发者使用了盗版Windows系统所致。但这并不能排除可能是一种新型的恶意软件传播方式,只不过针对的人群是开发者罢了。

伪造的补丁安装程序下所覆盖的恶意软件正在请求获取管理权限

当前Palo Alto
Networks已经将该发现上报给了谷歌安全团队,这132款应用目前已经从Play
Store中下架。

您可以看到这种攻击是如何诱骗用户无意中在设备上安装恶意软件的。它还可用于授予恶意软件对设备的完全管理权限。

稿源:Yesky天极新闻

覆盖攻击也可通过在设备上显示无法关闭的窗口,从而创造拒绝服务条件。这正是攻击者在移动设备上发起勒索软件攻击所使用的方式。

当然,覆盖攻击可在一次攻击中实现以下三个目的:

  1. 诱骗用户在设备上安装恶意软件。

  2. 诱骗用户授予恶意软件对设备的完全管理权限。

  3. 使用覆盖攻击锁定设备并以此索要赎金。

覆盖攻击并不是新生事物,此前就已经引起过人们的关注。但在此之前,根据
IEEE
安全与隐私期刊中的最新研究结果,所有人都认为试图发起覆盖攻击的恶意应用要想成功,必须克服两大障碍:

  1. 必须在安装时明确要求用户授予其 “draw on top” 权限。

  2. 必须通过 Google Play 进行安装。

这些都是重要的缓解因素,正因如此,覆盖攻击并没有被视为严重威胁。

但是,我们新的 Unit 42
研究显示,有一种途径可以绕过这些缓解因素发起覆盖攻击。我们的研究人员发现,如果恶意应用利用这个新漏洞,那么它只需安装在设备上即可发起覆盖攻击。特别是,这意味着来自网站和除
Google Play
之外的其他应用商店的恶意应用均可发起覆盖攻击。值得注意的是,来自网站和除
Google Play 之外的其他应用商店的应用是全球 Android 恶意软件的重要来源。

其中一个特定漏洞可影响名为 “Toast”(吐司)的 Android 功能。“Toast”
是一种在屏幕上“弹出”(就像烤吐司一样)的通知窗口。“Toast”
通常用于在其他应用之上显示消息和通知。

与 Android 中的其他窗口类型不同,Toast
不需要相同的权限,因此适用于以前的覆盖攻击的缓解因素在此并不适用。此外,我们的研究人员也已概述了如何创建覆盖整个屏幕的
Toast 窗口,因此使用 Toast 创建与常规应用窗口功能相同的窗口是可能的。

根据这项最新研究,覆盖攻击的风险便具有更高的严重性。幸运的是,最新版本的
Android 从一开始即可免受这些攻击的影响。但是,大多数使用旧版本 Android
的用户却容易受到攻击。这意味着对于所有使用 8.0 之前版本的 Android
用户来说,更新设备至关重要。您可以从移动运营商和手机制造商处了解关于补丁和更新可用性的信息。

当然,防范恶意应用最好的途径之一就是仅从 Google Play 安装 Android
应用,因为 Android
安全团队始终积极筛选恶意应用并从一开始就将其排除在商店之外。