会隐身的恶意软件，可绕过Google Play：是谁在背后操控全局？

LYA 看雪学院 2021-03-13

恶意软件层出不穷。

为了避开应用商店的检测。

也算是费尽心机。

那你有见过会隐身的恶意软件吗？

Google Play发现25款恶意软件

这个月在 Play Store中发现了25款恶意软件，共被安装210万次。

这25款恶意软件主要伪装成时尚和图片等实用工具的应用程序成功登陆Play Store，目前这25款软件均已被删除下架。

当用户下载这些App时，首次安装时，用户依然可以正常使用，但他们不知道的是，未知的第三方在后台悄悄发出了下载远程配置文件的请求。

如何请求配置文件

当恶意组件下载成功后，会开始显示广告，让软件开发者可以通过受感染的Android设备赚钱。

该应用软件的配置文件由攻击者远程控制，此外开发者对App源代码中的一些关键字进行编码和加密，使其能够顺利逃避Google Play的严格安全检测。

这25个隐藏的恶意软件共享相似的代码结构和应用程序内容，由此可见这一批软件的开发者很有可能属于同一个恶意组织，或者使用相同的源代码库。

会隐身的恶意软件

恶意软件投放广告十分常见，但会隐身则是这一批App的创新之处。

恶意软件在隐藏图标后，开始在受感染的设备上显示广告，即使这些应用程序已经关闭，广告也会显示出来。值得注意的是，这个广告的展示是全屏的，在广告窗口以及应用程序切换视图下也没有任何与恶意软件相关的文字，因此用户无法知道具体是哪个App导致的广告。

如上如所示，左图显示的是受感染的安卓设备显示的全屏广告，中间则是在应用程序切换视图下，该恶意软件会隐去标题，而正常的视图则应如右图所示。

不止隐身这一点，这次攻击还有另一个创新之处，会分身。

为了感染扩散地更快，这些开发者们也算是费尽心机。他们会在Play Store里发布两个相同的App，其中一个是可正常使用的普通版本，另一个则是带有捆绑代码的恶意软件。普通软件会晋升为Play Store的热门App类别以增加曝光，而在用户下载时则会安装恶意软件，感染安卓用户并推送广告。

对于避免受到此类恶意软件的攻击，有如下建议：

1.保持软件更新

2.不要从不熟悉的网站下载应用程序

3.密切关注应用程序请求的权限

4.经常备份重要数据

*本文由看雪编辑 LYA 编译自 Bleeping Computer，转载请注明来源及作者。