HackerNews 编译，转载请注明出处： Zscaler 旗下 ThreatLabs 团队在调查一波针对安卓设备的 Anatsa（Teabot）银行木马新感染浪潮时，发现 77 款恶意安卓应用在 Google Play 上被安装了超过 1900 万次，这些应用向用户传播多种恶意软件家族。 虽然大部分恶意应用（超过 66%）包含广告软件组件，但最常见的安卓恶意软件是 Joker，研究人员在近 25% 的分析应用中发现了它。安装到设备后，Joker 可以读取和发送短信、截屏、拨打电话、窃取通讯录、访问设备信息，并为用户订阅高级服务。 较小比例的应用程序包含伪装软件（maskware），该术语用于定义那些伪装成不会引起任何怀疑的合法应用的恶意软件。此类恶意软件可能表现为功能正常的合法应用，但会在后台执行恶意活动，例如窃取凭证、银行信息或其他敏感数据（位置、短信）。网络犯罪分子也可能利用伪装软件传播其他恶意软件。 Zscaler 研究人员还发现了一种名为 Harly 的 Joker 变种，它以一个表面合法的应用程序形式出现，但将恶意负载隐藏在代码深处，以在审核过程中规避检测。在 3 月的一份报告中，Human Security 研究人员称 Harly 可以隐藏在流行应用中，例如游戏、壁纸、手电筒和照片编辑器。 Anatsa 木马持续进化 据 Zscaler 称，最新版本的 Anatsa 银行木马进一步扩大了其目标范围，试图窃取数据的银行和加密货币应用数量从此前的 650 个增加到了 831 个。该恶意软件运营商使用一款名为“Document Reader – File Manager”（文档阅读器 – 文件管理器）的应用作为诱饵，该应用仅在安装后才下载恶意的 Anatsa 负载，以此规避谷歌的代码审查。 最新活动已从过去使用的远程 DEX 动态代码加载方式，转变为直接安装负载，从 JSON 文件中解包，然后将其删除。在规避检测方面，它使用畸形的 APK 文件来破坏静态分析，运行时基于 DES 的字符串解密，以及模拟环境检测。包名和哈希值也会定期更改。 在功能方面，Anatsa 滥用安卓系统的无障碍权限，自动授予自身广泛权限。它从服务器获取针对 831 多个应用的钓鱼页面，现已覆盖德国和韩国，同时还添加了键盘记录模块用于窃取通用数据。 在 ThreatFabric 于 7 月发现的另一波攻击之后，最新的 Anatsa 活动接踵而至。当时该木马伪装成 PDF 阅读器潜入 Google Play，下载量超过 5 万次。更早的 Anatsa 活动包括：2024 年 5 月的一次 PDF 和 QR 码阅读器攻击，感染 7 万台设备；2024 年 2 月的一次手机清理器和 PDF 攻击，获得 15 万次下载；以及 2023 年 3 月的一次 PDF 阅读器攻击，安装量达到 3 万次。 Google Play 上的恶意应用浪潮 除了此次发现的恶意 Anatsa 应用外，Zscaler 发现的大多数是广告软件家族，其次是“Joker”、“Harly”和各种伪装软件。 “ThreatLabz 发现 Google Play 商店上的广告软件应用数量急剧上升，同时还有诸如 Joker、Harly 以及 Anatsa 等银行木马类恶意软件，”Zscaler 研究员 Himanshu Sharma 解释道，“相比之下，像 Facestealer 和 Coper 这样的恶意软件家族数量则出现了明显下降。” 工具和个性化应用占用于传播这些恶意软件的诱饵的一半以上，因此这两类应用，连同娱乐、摄影和设计类应用，应被视为高风险类别。包括含有 Anatsa 木马的应用在内，这 77 款恶意应用在 Google Play 上的总下载量达到 1900 万次。 Zscaler 报告称，在其报告后，谷歌已从 Play 商店中移除了他们此次发现的所有恶意应用。安卓用户必须确保其设备上的 Play Protect 服务处于激活状态，以便标记恶意应用进行移除。若感染了 Anatsa 木马，则需采取额外步骤联系银行，以保护可能已被泄露的电子银行账户或凭证安全。 为尽量减少来自 Google Play 上恶意软件加载器的风险，请仅信任信誉良好的发布者，至少阅读几条用户评论，并且仅授予与应用核心功能直接相关的权限。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过 300 款恶意 Android 应用从 Google Play 下载了 6000 万次，它们或作为广告软件，或试图窃取凭证和信用卡信息。 这一操作最初由 IAS 威胁实验室发现，该实验室将此恶意活动归类为 Vapor，并称其自 2024 年初以来一直在进行。 IAS 识别出 180 款属于 Vapor 活动的应用，这些应用每天生成 2000 万次欺诈性的广告竞价请求，以进行大规模广告欺诈。 Bitdefender 最新发布的报告将恶意应用数量增加至 331 款，并报告在巴西、美国、墨西哥、土耳其和韩国等地出现了大量感染。 “这些应用会显示不合时宜的广告，甚至试图通过网络钓鱼攻击诱使受害者交出凭证和信用卡信息，”Bitdefender 警告称。 尽管所有这些应用都已被从 Google Play 下架，但 Vapor 通过新应用卷土重来的风险依然很大，因为威胁行为者已经展示了绕过 Google 审查流程的能力。  Vapor 活动中使用到的应用是实用工具，提供诸如健康和健身追踪、笔记工具和日记、电池优化器以及二维码扫描仪等专门功能。 这些应用通过了 Google 的安全审查，因为它们包含了所宣传的功能，并且在提交时并未包含恶意组件。相反，恶意功能是通过从命令和控制（C2）服务器推送的更新在安装后下载的。 一些由 Bitdefender 和 IAS 突出显示的典型案例包括： – AquaTracker – 100 万次下载 – ClickSave Downloader – 100 万次下载 – Scan Hawk – 100 万次下载 – Water Time Tracker – 100 万次下载 – Be More – 100 万次下载 – BeatWatch – 50 万次下载 – TranslateScan – 10 万次下载 – Handset Locator – 5 万次下载 这些应用是从多个开发者账户上传到 Google Play 的，每个账户只推送几款应用到商店，以免在被下架时冒高风险中断。出于类似原因，每个发布者使用不同的广告软件 SDK。 大多数 Vapor 应用是在 2024 年 10 月至 2025 年 1 月之间发布到 Google Play 上的，尽管上传一直持续到 3 月。 这些恶意的 Vapor 应用在安装后会关闭其在 AndroidManifest.xml 文件中的启动器活动，使它们不可见。在某些情况下，它们会将自己在设置中重命名为看似合法的应用（例如 Google Voice）。 这些应用无需用户交互即可启动，并使用本地代码启用一个隐藏的次要组件，同时保持启动器禁用以隐藏图标。 Bitdefender 指出，这种方法绕过了 Android 13+ 的安全保护，这些保护措施禁止应用在激活后动态禁用自身的启动器活动。 该恶意软件还绕过了 Android 13+ 的“SYSTEM_ALERT_WINDOW”权限限制，并创建了一个充当全屏覆盖的次要屏幕。 广告显示在这个屏幕上，该屏幕覆盖在所有其他应用之上，用户无法退出，因为“返回”按钮被禁用。 该应用还会从“最近任务”中移除自己，因此用户无法确定他们刚刚看到的广告是由哪个应用启动的。 Bitdefender 报告称，一些应用超越了广告欺诈的范畴，会显示 Facebook 和 YouTube 的假登录屏幕以窃取凭证，或以各种借口提示用户输入信用卡信息。 一般建议 Android 用户避免从不知名发布者处安装不必要的应用，仔细检查授予的权限，并将应用抽屉与设置中的应用列表进行比较，以查看所有已安装的应用。 所有 331 款恶意应用的完整列表可在此处查看。 如果您发现自己安装了这些应用中的任何一个，请立即卸载，并使用 Google Play Protect（或其他移动防病毒产品）运行完整的系统扫描。 BleepingComputer 已就 Vapor 活动联系 Google 以获取评论，但在发布时尚未收到声明。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 SpyLend 的安卓恶意软件应用已在 Google Play 上下载超过 10 万次，该应用伪装成金融工具，但实际上是一个针对印度用户的掠夺性贷款应用。 该应用属于一系列名为 “SpyLoan” 的恶意安卓应用程序，这些应用伪装成合法的金融工具或贷款服务，但实际上会从设备中窃取数据，用于掠夺性贷款。 这些应用以快速、便捷的贷款承诺吸引用户，通常要求的文件很少，提供的条件也很有吸引力。然而，安装后，它们会请求过多的权限，允许应用窃取个人数据，如联系人、通话记录、短信、照片和设备位置。 这些被窃取的信息随后被用于骚扰、敲诈和勒索用户，特别是当他们未能满足应用的还款条款时。 贷款诈骗和敲诈 网络安全公司 CYFIRMA 发现了一款名为 “Finance Simplified” 的安卓应用，该应用声称是一个金融管理应用，并在 Google Play 上获得了 10 万次下载。 然而，CYFIRMA 表示，该应用在某些国家（如印度）表现出更恶意的行为，从用户的设备中窃取数据，用于掠夺性贷款。研究人员还发现了其他恶意 APK，似乎是同一恶意软件活动的变种，分别是 KreditApple、PokketMe 和 StashFur。 尽管该应用现已从 Google Play 上移除，但它可能继续在后台运行，从受感染的设备中收集敏感信息。 恶意应用在 Google Play 上 Google Play 上 “Finance Simplified” 的多条用户评论显示，该应用提供的贷款服务会试图敲诈借款人，如果他们不支付高利率。 “非常非常非常糟糕的应用，他们提供的贷款金额很低，并且会勒索支付高额利息，否则会将照片编辑成裸照并进行勒索，”一位用户对这款已被下架的应用进行了评价。 这些应用还声称自己是注册的非银行金融机构（NBFC），但 CYFIRMA 表示这是不真实的。 为了在 Google Play 上躲避检测，Finance Simplified 使用 WebView 将用户重定向到外部网站，从那里下载托管在 Amazon EC2 服务器上的贷款应用 APK。 “Finance Simplified 应用似乎专门针对印度用户，显示并推荐贷款应用，加载一个 WebView，显示一个重定向到外部网站的贷款服务，从那里下载一个单独的贷款 APK 文件，”CYFIRMA 解释道。 研究人员发现，如果用户的位置是印度，该应用只会加载具有欺骗性的界面，这表明该活动具有特定的目标。 应用窃取的敏感数据 该恶意软件活动更令人担忧的方面是数据收集，包括存储在用户设备上的敏感个人信息。 以下是该恶意软件窃取的数据摘要： – 联系人、通话记录、短信和设备详细信息。 – 来自内部和外部存储的照片、视频和文档。 – 实时位置跟踪（每 3 秒更新一次）、历史位置数据和 IP 地址。 – 最近复制到剪贴板的 20 条文本输入。 – 贷款历史和银行短信交易记录。 尽管这些数据主要用于敲诈那些错误地申请贷款的受害者，但也可能用于金融诈骗或转售给网络犯罪分子以牟利。 SpyLend 运营概述 如果您怀疑您的设备被上述任何应用或类似应用感染，请立即删除它们，重置权限，更改银行账户密码，并进行设备扫描。 Google 的 Play Protect 工具可以检测并阻止已知的恶意软件和掠夺性应用，因此请确保您的设备上已激活该工具。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

伪装成营销软件开发工具包（SDK）的间谍软件被发现进入101个安卓应用程序，其中许多以前在Google Play上，下载量超过4亿次。 Doctor Web的研究人员称这种恶意SDK为 “SpinOk”，并报告说，它拥有一揽子营销功能，如小游戏和抽奖，以保持访问者长时间使用应用程序。 研究人员进一步解释说：”在初始化时，这个木马SDK通过发送一个包含有关受感染设备的的请求，连接到一个C2服务器。包括来自传感器的数据，如陀螺仪、磁力计等，可用于检测模拟器环境并调整模块的操作程序，以避免被安全研究人员发现”。 Doctor Web表示，它向谷歌通报了分发SpinOk木马的应用程序，这些应用程序已经得到解决，但已经下载这些应用程序的用户仍然面临风险。该团队观察到的10个下载量最大的受影响的安卓应用包括： Noizz – 带有音乐的视频编辑器（至少100,000,000次安装） Zapya – 文件传输、共享（至少100,000,000次安装；木马模块在6.3.3至6.4版本中存在，在目前的6.4.1版本中已不存在） VFly – 视频编辑器和视频制作器（至少50,000,000个安装） MVBit – MV视频状态制作器（至少50,000,000次安装） Biugo – 视频制作者和视频编辑（至少50,000,000次安装） Crazy Drop – (至少10,000,000次安装) Cashzine – 挣钱奖励（至少10,000,000次安装） Fizzo Novel – 离线阅读 (至少10,000,000次安装) CashEM – 获得奖励 (至少5,000,000次安装) Tick-观看赚钱（至少5,000,000次安装）     转自 Freebuf，原文链接：https://www.freebuf.com/news/368071.html 封面来源于网络，如有侵权请联系删除

理论上，大多数恶意的Android应用来自可疑的网页或第三方应用商店，但安全研究人员经常发现它们隐藏在Google的官方Play商店中。卡巴斯基的一份新报告表明，被黑的Play Store应用正变得越来越复杂。 在本周发表的一份新报告中，安全公司卡巴斯基描述了一个暗网市场，提供用Android恶意软件和间谍软件入侵目标的服务。黑客可以将大部分恶意代码偷偷放到Google Play商店，规避Google最严格的保护措施。 这个过程的第一步，也可以说是对终端用户最危险的一步就是劫持Play商店的开发者账户。一个潜在的攻击者可以向黑客支付25-80美元，购买一个被盗或用偷来的凭证注册的开发者账户。这让网络犯罪分子把以前信任的应用程序转化为恶意软件的载体。 如果攻击者上传了一个新的应用，他们可能不会立即加载间谍软件，以避免引起Google的注意，相反，其策略是等待，直到它积累了足够的下载量。黑客还提供夸大下载量的服务，并发起Google广告活动，使欺诈性的应用程序看起来更合法。 然后，黑客可以使用加载器，通过看似合法的更新将恶意代码推送到目标设备，但这些可能不包含最终的恶意软件有效载荷。应用程序可能会要求用户同意从Google游戏商店以外的地方下载应用程序或其他信息，然后完全感染设备以完全控制或窃取信息。被感染的应用程序有时会停止正常工作，直到用户授予下载完整有效载荷的权限。 黑客在销售恶意软件时提供一系列复杂的服务和交易，包括演示视频、捆绑销售、拍卖和各种付款计划。恶意软件卖家可能会要求一次性付款，从诈骗行动中获得一定比例的利润，或收取订阅费。 为了增加成功感染的机会，黑客们出售混淆服务，使有效载荷复杂化，以加强对Google的安全防护。相反，存在更便宜的绑定服务选择，试图用非Play Store APK感染目标，其成功率比加载器低。 对用户来说，最直接的预防措施是永远不要让Play Store应用程序从Play Store以外的地方下载任何东西，特别是如果这些应用程序通常不要求这种许可。始终谨慎对待授予应用程序的权限。同时，开发者应该格外小心，通过多因素认证和一般的警惕性等常见的最佳做法来保护他们的账户安全。最常受影响的应用程序是加密货币追踪器、二维码扫描器、约会和金融应用程序。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7220990076393062967/ 封面来源于网络，如有侵权请联系删除

最近，一种新的活动跟踪应用程序在 Android 的官方应用程序商店 Google Play 上取得了巨大收获，其下载量已经超过2000万次。 这些应用程序将自己包装为健康、计步器和养成良好习惯的应用程序，承诺为用户在日常生活中保持活跃、达到距离目标等提供随机奖励。 不过，根据 Dr.Web 杀毒软件的一份报告，奖励可能无法兑现，或者在强迫用户观看大量广告后只能部分兑现。 Dr. Web 报告中列出的三个值得注意的例子是： Lucky Step – Walking Tracker– 1000 万次下载 WalkingJoy——500万次下载 幸运习惯：健康追踪器——500万次下载 Dr. Web 表示，这三个应用程序都与同一个远程服务器地址通信，表明是一个共同的操作员/开发人员。在撰写本文时，这三款产品均在 Google Play 上可用。 这家防病毒公司表示，在用户积累大量奖励之前，这些应用程序不允许提款。而且，他们要求用户观看十几个广告视频后才能解锁“收入”。 即使在观看了一轮广告后，这些应用程序仍会推送更多广告，理由是为了加快提现过程。 除了这些标志外，Dr. Web 还报告说，早期版本的“Lucky Step – Walking Tracker”提供了将应用内奖励转换为礼品卡的选项，用户可以使用礼品卡在在线商店购买商品。 然而，在最新版本的应用程序中，此功能已从选项中删除，因此不清楚奖励可以转换成什么。 Google Play 上的一些用户留下评论称“Lucky Step – Waling Tracker”充当广告软件，在屏幕解锁时加载全屏广告，甚至覆盖活动窗口。 另一个在 Google Play 上仍然可用的类似的应用程序是“Wonder Time”，这是一款奖励应用程序，已积累了 500,000 次下载。 该应用程序承诺为完成各种任务（如安装其他应用程序和游戏）奖励真钱。 然而，与开发者设定的最低收入提款门槛相比，用户每次操作获得的代币微不足道。 钓鱼游戏 在同一份报告中，Web 博士警告说，在 Google Play 上发现了伪装成投资应用程序和游戏的网络钓鱼应用程序，下载量超过 450,000 次。 这些应用程序在启动时连接到远程服务器，并接收一个配置来指导它们做什么。通常，这些网络钓鱼页面涉及要求用户输入敏感详细信息。 Dr.Web 观察到的恶意游戏应用如下： Golden Hunt– 100,000 次下载 Reflector– 100,000 次下载 七金狼二十一点– 100,000 次下载（仍在 Google Play 上） 无限得分– 50,000 次下载 重大决策——50,000 次下载 宝石海– 10,000 次下载 Lux Fruits Game– 10,000 次下载 幸运四叶草– 10,000 次下载 King Blitz– 5,000 次下载 幸运锤– 1,000 次下载 如果您的 Android 设备上安装了上述任何网络钓鱼应用程序，您应该立即卸载它们，然后运行杀毒扫描以找到并删除残留物。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/356010.html 封面来源于网络，如有侵权请联系删除

McAfee的安全研究人员发现，GooglePlay官方商店里有16个恶意点击的应用程序，安装次数超过2000万次。其中一个名为DxClean的应用程序的安装次数更是超过500万次，搞笑的是，其用户评级竟然还有4.1分(满分5分)。 这类伪装成应用程序的广告软件，常常表现为在不可见的框架中或在后台加载广告并点击它们，为背后的攻击者创造收入。 最近，McAfee移动研究小组发现了潜入GooglePlay的新Clicker恶意软件。McAfee发表的报告中说:”总共有16个以前在GooglePlay上的应用程序被证实有恶意的有效载荷，大约有2000万次安装。” 攻击者将恶意点击代码隐藏在较为实用的应用软件中，如手电筒(Torch)、QR阅读器、 Camara、单位转换器和任务管理器。 恶意点击程序通过FCM消息（Firebase Cloud Messaging）传播，当应用程序收到符合某些条件的FCM消息时，相关功能就会在后台启动。FCM消息包括多种信息，比如要调用的函数和要传递的参数。” 通常情况下，这些功能会指示设备在后台访问网站，同时模仿用户的行为。这可能会消耗大量的网络流量和电力，同时通过在用户不知情的情况下点击广告为攻击者创造利润。 专家们在这些点击器应用程序中发现了两段代码，一个是”comclickcas”库，用于实现自动点击功能，第二个是”com.liveposting”库，作为一个代理，运行隐藏的广告软件服务。 目前安全公司分享了McAfee专家报告的所有16个Clicker应用程序，并且已从GooglePlay中删除。“Clicker恶意软件以非法广告收入为目标，可以破坏移动广告生态系统。恶意行为被巧妙地隐藏起来，难以被用户发现。” 最后，安全专家建议安装并激活一个安全软件，这样用户可及时了解设备上存在的任何移动安全威肋的通知。及时删除这些恶意应用程序，不仅可以延长电池使用时间，也可以大大减少流量的消耗，保护用户个人信息和数据安全。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347844.html 封面来源于网络，如有侵权请联系删除

2012年7月26日，谷歌将Android Market重新命名，变为如今大家耳熟能详的Google Play。作为整个安卓系统最重要、最为官方的应用下载市场，10年来，Google Play已经服务了来自全球190多个国家地区的25亿用户。但正所谓树大招风，Google Play也早已被众多恶意软件盯上，成为它们的集散中心。 为庆祝Google Play十周年，谷歌设计了新的标志 近两年，Google Play恶意软件泛滥的问题已经引起了越来越多安全机构的注意，根据2020年的一项调查研究，Google Play直接被确认为是安卓设备上安装恶意软件的主要来源。研究人员通过对790万款独立应用所涉及的3400万个APK分析，发现有10%到24%可以被描述为恶意或不需要的应用软件。研究人员还特别研究了这些软件的来源路径，结果显示，大约67%的恶意应用软件安装来自Google Play。 由于Google Play恶意软件问题越发严峻，安全事件频出，FreeBuf曾在近期做过多次专门报道： Facestealer 今年5月，趋势科技揭露了一款名为Facestealer的间谍软件，该软件自去年7月被俄罗斯安全厂商Doctor Web发现以来，通过变换马甲，伪装成超200款应用渗透进Google Play，其中VPN类应用占比最高，达42款，其次是拍照类应用（20款）及照片编辑类应用（13款）。 Facestealer的目的是窃取用户 Facebook账户的敏感信息 ，当用户登录 Facebook账户后，恶意软件会搜集Cookie，并加密发送至攻击者所在的远程服务器。 Facestealer请求用户登录 Facebook Autolycos 同样是去年，网络安全公司Evina的研究人员注意到一款名为Autolycos的恶意软件，根据批露，有8款软件内含Autolycos，累计下载次数超过了300万次。作为一种新型的恶意软件，Autolycos能够执行隐蔽的恶意行为，如在远程浏览器上执行 URL，然后将结果纳入到 HTTP 请求中，而不是使用 Webview。这种方式旨在使其行为变得更加隐蔽，也不会被受感染设备的防护措施检测到。 伪装成相机应用的Autolycos Joker Joker与Google Play的羁绊可谓最久，这是一款向用户恶意订阅由攻击者控制的高级付费服务的恶意软件，自2017年问世以来现身频繁。去年底，Joker被曝附身于一款名为Color Message的短信App内，下载次数达到了50万次，并在用户神不知鬼不觉的情况下订阅了昂贵的云计算服务。此外，它还会访问用户联系人信息，并将信息发送至由攻击者控制的境外服务器。 下载量达50万次的Color Message 最近，网络安全公司Zscaler又在Google Play发现了53款含有Joker的应用软件，累计下载次数超过了33万次。这些应用一般通过冒充短信、照片编辑器、血压计、表情符号键盘和翻译应用程序的形式出现，一旦用户安装后，应用程序又要求提升设备的权限来进行其它操作。 部分含有Joker的恶意软件 道高一尺魔高一丈 其实官方应用市场时不时冒出恶意软件并不是什么新鲜事，哪怕是相对封闭的苹果macOS与iOS系统有时也会为之困扰，据 Apple Insider 的统计，2022 年迄今已发现超过 3400 万个新的恶意软件样本，其中macOS为 2000 个，而安卓系统则达到了53.6万个，可见基于安卓系统自身的开放性，恶意软件的防范难度远非macOS与iOS能够比拟。 在上传至Google Play时，这些恶意软件可通过轻量化的代码，伪装、克隆成合法正常的应用程序，以欺骗Google Play的安全防御检测，即使当受害首次下载安装时也看不出任何端倪，而一旦获取了用户设备相应的权限，这些恶意软件才逐渐浮现出庐山真面目——比如通过Dropper（滴管）技术，在受害者设备上逐步部署带有恶意功能的有效载荷。 为了尽可能多地持续性绕过检测，这些恶意软件也会不断升级优化，也会善于利用通用工具进行混淆，比如Joker曾利用由谷歌设计的开源应用开发工具包Flutter来逃避基于设备和应用商店的安全检测，它能允许开发者从一个代码库中为移动端、网络端和桌面端制作本地应用。由于Flutter的通用性，恶意软件代码也可以轻松绕过检查。 面对恶意软件泛滥，谷歌表示，仅在2021年就封禁了 190000 个恶意和垃圾邮件开发者账户，120 万款违反 Google Play 政策的应用被删除，但这并不表示这些删除都是及时的。如前文所述，去年6月，网络安全公司Evina发现了8款内含Autolycos的恶意软件，并随即向谷歌做了汇报，但谷歌花了长达约半年的时间才删除了其中的 6 款软件，另外两款直到今年7月初才被删除。正是由于许多恶意软件仍需要安全公司甚至用户主动发现并上报，再经过谷歌一定时间的审核确认，导致不少恶意软件在被删除前已被下载了数万次，在这期间，攻击者可能已或多或少达成了他们的目的。 对于主要依靠事后删除这种治标不治本的做法，谷歌也尝试过扩大其检测和防御手段，但这些恶意软件的更新迭代也在不断加快，总能找到空子趁机溜入。今年4月，谷歌通过了一系列新的开发策略，要求自 2022 年 11 月 1 日起，所有新发布的应用程序必须对标最新Android系统版本发布后一年之内与之相匹配的API 级别，否则将不得上架Google Play；而现有应用若两年内未对标相应API级别，则会被Google Play移除。 新发布应用的 API 级别定位要求 这一变化旨在要求应用程序开发人员采用更严格的 API 策略来支持较新的 Android 版本，以针对目前的安全威胁，获得更好的权限管理和撤销、通知反劫持、数据隐私增强、网络钓鱼检测、屏幕启动限制等功能。 另外一项政策便是收紧了“REQUEST_INSTALL_PACKAGES”权限，以针对一些应用在上架Google Play时通过提交看似正常的代码骗过审核，并在被下载后部署恶意模块。该政策已于7 月 正式生效，适用于所有使用 API 级别为 25 (Android 7.1) 及更高版本的应用，使用此权限的应用程序在安装或更新时仅能获取经过数字签名的数据包，且不得执行自我更新、修改或在文件中捆绑其他 APK的操作。 这些政策能给谷歌防范恶意软件带来多大帮助目前还不得而知，但有一点可以肯定，恶意软件如同经久不衰的DDoS以及APT攻击，攻击者总能找到突破口实施入侵。对于Google Play，谷歌所要做的就是尽可能地快人一步，不断升级安全措施，及时发现并阻止恶意软件，尽量减小它们对用户构成的威胁。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/336663.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Google 应用商店上出现了一个新的安卓恶意软件，累计下载次数已经超过 300 万次，该恶意软件会秘密为用户订阅高级服务。 据悉，恶意软件名为“Autolycos”，由 Evina 的网络安全研究员 Maxime Ingrao 首次发现。研究表明，Autolycos 至少存在于八个 Android 应用程序中。 值得一提的是，在撰写本文时，其中两个应用程序仍可在 Google应用中找到（后续谷歌删除了）。仍然可用的两个应用程序分别是“Funny Camera”和“Razer Keyboard & Theme”，各自在 Google 应用商店中的安装量超过了 50万 次和 5 万次。 其余六个应用程序目前已经从 Google 应用商店中删除了，但依旧会对安装过这些应用程序的用户造成影响，以下是六款应用程序的名称及安装次数。 Vlog Star Video Editor（com.vlog.star.video.editor）-100万次下载 Creative 3D Launcher (app.launcher.creative3d) – 100万次下载 Wow Beauty Camera (com.wowbeauty.camera) – 10万次下载 Gif Emoji Keyboard (com.gif.emoji.keyboard) – 10万次下载 Freeglow Camera 1.0.0 (com.glow.camera.open) – 5000次下载 Coco Camera v1.1 (com.toomore.cool.camera) -1000 次下载 Bleeping Computer 从安全研究员 Ingrao 处获悉，他早在 2021 年 6 月就发现了这些应用程序中存在恶意软件，同一时间立刻向谷歌报告了其发现。 恶意软件事情后续的发展我们也能够看到，谷歌虽然承认收到了 Ingrao 的报告，但是大约花了半年时间才删除了 6 个恶意应用程序，另外两个至今仍在 Google 应用商店中（目前也已删除）。 Autolycos 的功能及推广 Autolycos 作为一种新型的恶意软件，能够执行隐蔽的恶意行为，如在远程浏览器上执行 URL，然后将结果纳入到 HTTP 请求中，而不是使用 Webview。这种方式旨在使其行为不显得引人注目，受感染设备的用户不会检测到。 大多情况下，感染恶意软件的应用程序会在设备上安装后，请求读取用户 SMS  内容的权限，从而允许应用程序访问受害者的 SMS 文本消息。 另外，为了向新用户推广这些应用程序，Autolycos 运营商在社交媒体上发布了许多广告活动。仅就 Razer Keyboard & Theme 而言，Ingrao 就在 Facebook 上发现了 74 次广告宣传。 最糟糕的是，虽然一些恶意应用程序在 Google 应用商店中存在一些负面评价，但是一些下载量较少的应用程序收到了大量僵尸评价，从而保持了良好的用户评价。 为了抵御恶意应用程序威胁，Android 用户应及时监控后台互联网数据和电池消耗，保持 Play Protect 处于激活状态，并尽量减少在其智能手机上安装应用程序的数量。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339133.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，谷歌将禁止俄罗斯用户和开发者从 Google Play 商店下载或更新付费应用程序。 Google 在其网站更新中声明：作为“合规”的一部分，2022 年 5 月 5 日起，Google Play 禁止俄罗斯用户或开发者下载付费应用程序和更新付费应用程序。 据悉，俄罗斯用户和开发者目前仍然可以发布和更新免费应用程序，但所有付费应用程序的更新已经被自动阻止。鉴于不能继续订阅付费应用程序，谷歌建议用户可以授予订阅计费宽限期和免费试用期，这一做法将适用于“订阅计费宽限期和任何免费试用期”。 另外，用户也可以将续订延期长达一年，此举允许用户在延期期间能够继续免费访问内容。如果用户愿意，同样可以选择免费提供应用程序，或者暂时删除付费订阅。 战争爆发后，俄罗斯禁止多款应用在境内运行 俄乌战争爆发后，谷歌开始制裁俄罗斯，3 月 10 日，首次暂停了其在俄罗斯的 Google Play 计费系统，以阻止俄罗斯用户购买应用程序和游戏，支付订阅或购买任何应用。 3 月 23 日，俄罗斯以谷歌提供有关乌克兰持续战争不可靠信息为由，禁止了 Alphabet 的新闻聚合服务 Google News 在该国运行，并阻止境内对 news.google.com 的访问。 除此之外，俄罗斯电信监管机构 Roskomnadzor 还要求 Google 停止在YouTube 视频中，传播有关俄罗斯与乌克兰战争“错误信息”的广告活动。作为回应，Google 封锁了俄罗斯国营媒体今日俄罗斯（RT）和卫星通讯社面向欧洲的 YouTube 频道。 值得一提的是，3 月初，根据总检察长办公室的要求，俄罗斯封锁了 Facebook 和 Twitter 社交网络，一周后，又禁止了Instagram。 转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332518.html 封面来源于网络，如有侵权请联系删除