伪装成营销软件开发工具包（SDK）的间谍软件被发现进入101个安卓应用程序，其中许多以前在Google Play上，下载量超过4亿次。 Doctor Web的研究人员称这种恶意SDK为 “SpinOk”，并报告说，它拥有一揽子营销功能，如小游戏和抽奖，以保持访问者长时间使用应用程序。 研究人员进一步解释说：”在初始化时，这个木马SDK通过发送一个包含有关受感染设备的的请求，连接到一个C2服务器。包括来自传感器的数据，如陀螺仪、磁力计等，可用于检测模拟器环境并调整模块的操作程序，以避免被安全研究人员发现”。 Doctor Web表示，它向谷歌通报了分发SpinOk木马的应用程序，这些应用程序已经得到解决，但已经下载这些应用程序的用户仍然面临风险。该团队观察到的10个下载量最大的受影响的安卓应用包括： Noizz – 带有音乐的视频编辑器（至少100,000,000次安装） Zapya – 文件传输、共享（至少100,000,000次安装；木马模块在6.3.3至6.4版本中存在，在目前的6.4.1版本中已不存在） VFly – 视频编辑器和视频制作器（至少50,000,000个安装） MVBit – MV视频状态制作器（至少50,000,000次安装） Biugo – 视频制作者和视频编辑（至少50,000,000次安装） Crazy Drop – (至少10,000,000次安装) Cashzine – 挣钱奖励（至少10,000,000次安装） Fizzo Novel – 离线阅读 (至少10,000,000次安装) CashEM – 获得奖励 (至少5,000,000次安装) Tick-观看赚钱（至少5,000,000次安装）     转自 Freebuf，原文链接：https://www.freebuf.com/news/368071.html 封面来源于网络，如有侵权请联系删除

理论上，大多数恶意的Android应用来自可疑的网页或第三方应用商店，但安全研究人员经常发现它们隐藏在Google的官方Play商店中。卡巴斯基的一份新报告表明，被黑的Play Store应用正变得越来越复杂。 在本周发表的一份新报告中，安全公司卡巴斯基描述了一个暗网市场，提供用Android恶意软件和间谍软件入侵目标的服务。黑客可以将大部分恶意代码偷偷放到Google Play商店，规避Google最严格的保护措施。 这个过程的第一步，也可以说是对终端用户最危险的一步就是劫持Play商店的开发者账户。一个潜在的攻击者可以向黑客支付25-80美元，购买一个被盗或用偷来的凭证注册的开发者账户。这让网络犯罪分子把以前信任的应用程序转化为恶意软件的载体。 如果攻击者上传了一个新的应用，他们可能不会立即加载间谍软件，以避免引起Google的注意，相反，其策略是等待，直到它积累了足够的下载量。黑客还提供夸大下载量的服务，并发起Google广告活动，使欺诈性的应用程序看起来更合法。 然后，黑客可以使用加载器，通过看似合法的更新将恶意代码推送到目标设备，但这些可能不包含最终的恶意软件有效载荷。应用程序可能会要求用户同意从Google游戏商店以外的地方下载应用程序或其他信息，然后完全感染设备以完全控制或窃取信息。被感染的应用程序有时会停止正常工作，直到用户授予下载完整有效载荷的权限。 黑客在销售恶意软件时提供一系列复杂的服务和交易，包括演示视频、捆绑销售、拍卖和各种付款计划。恶意软件卖家可能会要求一次性付款，从诈骗行动中获得一定比例的利润，或收取订阅费。 为了增加成功感染的机会，黑客们出售混淆服务，使有效载荷复杂化，以加强对Google的安全防护。相反，存在更便宜的绑定服务选择，试图用非Play Store APK感染目标，其成功率比加载器低。 对用户来说，最直接的预防措施是永远不要让Play Store应用程序从Play Store以外的地方下载任何东西，特别是如果这些应用程序通常不要求这种许可。始终谨慎对待授予应用程序的权限。同时，开发者应该格外小心，通过多因素认证和一般的警惕性等常见的最佳做法来保护他们的账户安全。最常受影响的应用程序是加密货币追踪器、二维码扫描器、约会和金融应用程序。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7220990076393062967/ 封面来源于网络，如有侵权请联系删除

最近，一种新的活动跟踪应用程序在 Android 的官方应用程序商店 Google Play 上取得了巨大收获，其下载量已经超过2000万次。 这些应用程序将自己包装为健康、计步器和养成良好习惯的应用程序，承诺为用户在日常生活中保持活跃、达到距离目标等提供随机奖励。 不过，根据 Dr.Web 杀毒软件的一份报告，奖励可能无法兑现，或者在强迫用户观看大量广告后只能部分兑现。 Dr. Web 报告中列出的三个值得注意的例子是： Lucky Step – Walking Tracker– 1000 万次下载 WalkingJoy——500万次下载 幸运习惯：健康追踪器——500万次下载 Dr. Web 表示，这三个应用程序都与同一个远程服务器地址通信，表明是一个共同的操作员/开发人员。在撰写本文时，这三款产品均在 Google Play 上可用。 这家防病毒公司表示，在用户积累大量奖励之前，这些应用程序不允许提款。而且，他们要求用户观看十几个广告视频后才能解锁“收入”。 即使在观看了一轮广告后，这些应用程序仍会推送更多广告，理由是为了加快提现过程。 除了这些标志外，Dr. Web 还报告说，早期版本的“Lucky Step – Walking Tracker”提供了将应用内奖励转换为礼品卡的选项，用户可以使用礼品卡在在线商店购买商品。 然而，在最新版本的应用程序中，此功能已从选项中删除，因此不清楚奖励可以转换成什么。 Google Play 上的一些用户留下评论称“Lucky Step – Waling Tracker”充当广告软件，在屏幕解锁时加载全屏广告，甚至覆盖活动窗口。 另一个在 Google Play 上仍然可用的类似的应用程序是“Wonder Time”，这是一款奖励应用程序，已积累了 500,000 次下载。 该应用程序承诺为完成各种任务（如安装其他应用程序和游戏）奖励真钱。 然而，与开发者设定的最低收入提款门槛相比，用户每次操作获得的代币微不足道。 钓鱼游戏 在同一份报告中，Web 博士警告说，在 Google Play 上发现了伪装成投资应用程序和游戏的网络钓鱼应用程序，下载量超过 450,000 次。 这些应用程序在启动时连接到远程服务器，并接收一个配置来指导它们做什么。通常，这些网络钓鱼页面涉及要求用户输入敏感详细信息。 Dr.Web 观察到的恶意游戏应用如下： Golden Hunt– 100,000 次下载 Reflector– 100,000 次下载 七金狼二十一点– 100,000 次下载（仍在 Google Play 上） 无限得分– 50,000 次下载 重大决策——50,000 次下载 宝石海– 10,000 次下载 Lux Fruits Game– 10,000 次下载 幸运四叶草– 10,000 次下载 King Blitz– 5,000 次下载 幸运锤– 1,000 次下载 如果您的 Android 设备上安装了上述任何网络钓鱼应用程序，您应该立即卸载它们，然后运行杀毒扫描以找到并删除残留物。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/356010.html 封面来源于网络，如有侵权请联系删除

McAfee的安全研究人员发现，GooglePlay官方商店里有16个恶意点击的应用程序，安装次数超过2000万次。其中一个名为DxClean的应用程序的安装次数更是超过500万次，搞笑的是，其用户评级竟然还有4.1分(满分5分)。 这类伪装成应用程序的广告软件，常常表现为在不可见的框架中或在后台加载广告并点击它们，为背后的攻击者创造收入。 最近，McAfee移动研究小组发现了潜入GooglePlay的新Clicker恶意软件。McAfee发表的报告中说:”总共有16个以前在GooglePlay上的应用程序被证实有恶意的有效载荷，大约有2000万次安装。” 攻击者将恶意点击代码隐藏在较为实用的应用软件中，如手电筒(Torch)、QR阅读器、 Camara、单位转换器和任务管理器。 恶意点击程序通过FCM消息（Firebase Cloud Messaging）传播，当应用程序收到符合某些条件的FCM消息时，相关功能就会在后台启动。FCM消息包括多种信息，比如要调用的函数和要传递的参数。” 通常情况下，这些功能会指示设备在后台访问网站，同时模仿用户的行为。这可能会消耗大量的网络流量和电力，同时通过在用户不知情的情况下点击广告为攻击者创造利润。 专家们在这些点击器应用程序中发现了两段代码，一个是”comclickcas”库，用于实现自动点击功能，第二个是”com.liveposting”库，作为一个代理，运行隐藏的广告软件服务。 目前安全公司分享了McAfee专家报告的所有16个Clicker应用程序，并且已从GooglePlay中删除。“Clicker恶意软件以非法广告收入为目标，可以破坏移动广告生态系统。恶意行为被巧妙地隐藏起来，难以被用户发现。” 最后，安全专家建议安装并激活一个安全软件，这样用户可及时了解设备上存在的任何移动安全威肋的通知。及时删除这些恶意应用程序，不仅可以延长电池使用时间，也可以大大减少流量的消耗，保护用户个人信息和数据安全。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347844.html 封面来源于网络，如有侵权请联系删除

2012年7月26日，谷歌将Android Market重新命名，变为如今大家耳熟能详的Google Play。作为整个安卓系统最重要、最为官方的应用下载市场，10年来，Google Play已经服务了来自全球190多个国家地区的25亿用户。但正所谓树大招风，Google Play也早已被众多恶意软件盯上，成为它们的集散中心。 为庆祝Google Play十周年，谷歌设计了新的标志 近两年，Google Play恶意软件泛滥的问题已经引起了越来越多安全机构的注意，根据2020年的一项调查研究，Google Play直接被确认为是安卓设备上安装恶意软件的主要来源。研究人员通过对790万款独立应用所涉及的3400万个APK分析，发现有10%到24%可以被描述为恶意或不需要的应用软件。研究人员还特别研究了这些软件的来源路径，结果显示，大约67%的恶意应用软件安装来自Google Play。 由于Google Play恶意软件问题越发严峻，安全事件频出，FreeBuf曾在近期做过多次专门报道： Facestealer 今年5月，趋势科技揭露了一款名为Facestealer的间谍软件，该软件自去年7月被俄罗斯安全厂商Doctor Web发现以来，通过变换马甲，伪装成超200款应用渗透进Google Play，其中VPN类应用占比最高，达42款，其次是拍照类应用（20款）及照片编辑类应用（13款）。 Facestealer的目的是窃取用户 Facebook账户的敏感信息 ，当用户登录 Facebook账户后，恶意软件会搜集Cookie，并加密发送至攻击者所在的远程服务器。 Facestealer请求用户登录 Facebook Autolycos 同样是去年，网络安全公司Evina的研究人员注意到一款名为Autolycos的恶意软件，根据批露，有8款软件内含Autolycos，累计下载次数超过了300万次。作为一种新型的恶意软件，Autolycos能够执行隐蔽的恶意行为，如在远程浏览器上执行 URL，然后将结果纳入到 HTTP 请求中，而不是使用 Webview。这种方式旨在使其行为变得更加隐蔽，也不会被受感染设备的防护措施检测到。 伪装成相机应用的Autolycos Joker Joker与Google Play的羁绊可谓最久，这是一款向用户恶意订阅由攻击者控制的高级付费服务的恶意软件，自2017年问世以来现身频繁。去年底，Joker被曝附身于一款名为Color Message的短信App内，下载次数达到了50万次，并在用户神不知鬼不觉的情况下订阅了昂贵的云计算服务。此外，它还会访问用户联系人信息，并将信息发送至由攻击者控制的境外服务器。 下载量达50万次的Color Message 最近，网络安全公司Zscaler又在Google Play发现了53款含有Joker的应用软件，累计下载次数超过了33万次。这些应用一般通过冒充短信、照片编辑器、血压计、表情符号键盘和翻译应用程序的形式出现，一旦用户安装后，应用程序又要求提升设备的权限来进行其它操作。 部分含有Joker的恶意软件 道高一尺魔高一丈 其实官方应用市场时不时冒出恶意软件并不是什么新鲜事，哪怕是相对封闭的苹果macOS与iOS系统有时也会为之困扰，据 Apple Insider 的统计，2022 年迄今已发现超过 3400 万个新的恶意软件样本，其中macOS为 2000 个，而安卓系统则达到了53.6万个，可见基于安卓系统自身的开放性，恶意软件的防范难度远非macOS与iOS能够比拟。 在上传至Google Play时，这些恶意软件可通过轻量化的代码，伪装、克隆成合法正常的应用程序，以欺骗Google Play的安全防御检测，即使当受害首次下载安装时也看不出任何端倪，而一旦获取了用户设备相应的权限，这些恶意软件才逐渐浮现出庐山真面目——比如通过Dropper（滴管）技术，在受害者设备上逐步部署带有恶意功能的有效载荷。 为了尽可能多地持续性绕过检测，这些恶意软件也会不断升级优化，也会善于利用通用工具进行混淆，比如Joker曾利用由谷歌设计的开源应用开发工具包Flutter来逃避基于设备和应用商店的安全检测，它能允许开发者从一个代码库中为移动端、网络端和桌面端制作本地应用。由于Flutter的通用性，恶意软件代码也可以轻松绕过检查。 面对恶意软件泛滥，谷歌表示，仅在2021年就封禁了 190000 个恶意和垃圾邮件开发者账户，120 万款违反 Google Play 政策的应用被删除，但这并不表示这些删除都是及时的。如前文所述，去年6月，网络安全公司Evina发现了8款内含Autolycos的恶意软件，并随即向谷歌做了汇报，但谷歌花了长达约半年的时间才删除了其中的 6 款软件，另外两款直到今年7月初才被删除。正是由于许多恶意软件仍需要安全公司甚至用户主动发现并上报，再经过谷歌一定时间的审核确认，导致不少恶意软件在被删除前已被下载了数万次，在这期间，攻击者可能已或多或少达成了他们的目的。 对于主要依靠事后删除这种治标不治本的做法，谷歌也尝试过扩大其检测和防御手段，但这些恶意软件的更新迭代也在不断加快，总能找到空子趁机溜入。今年4月，谷歌通过了一系列新的开发策略，要求自 2022 年 11 月 1 日起，所有新发布的应用程序必须对标最新Android系统版本发布后一年之内与之相匹配的API 级别，否则将不得上架Google Play；而现有应用若两年内未对标相应API级别，则会被Google Play移除。 新发布应用的 API 级别定位要求 这一变化旨在要求应用程序开发人员采用更严格的 API 策略来支持较新的 Android 版本，以针对目前的安全威胁，获得更好的权限管理和撤销、通知反劫持、数据隐私增强、网络钓鱼检测、屏幕启动限制等功能。 另外一项政策便是收紧了“REQUEST_INSTALL_PACKAGES”权限，以针对一些应用在上架Google Play时通过提交看似正常的代码骗过审核，并在被下载后部署恶意模块。该政策已于7 月 正式生效，适用于所有使用 API 级别为 25 (Android 7.1) 及更高版本的应用，使用此权限的应用程序在安装或更新时仅能获取经过数字签名的数据包，且不得执行自我更新、修改或在文件中捆绑其他 APK的操作。 这些政策能给谷歌防范恶意软件带来多大帮助目前还不得而知，但有一点可以肯定，恶意软件如同经久不衰的DDoS以及APT攻击，攻击者总能找到突破口实施入侵。对于Google Play，谷歌所要做的就是尽可能地快人一步，不断升级安全措施，及时发现并阻止恶意软件，尽量减小它们对用户构成的威胁。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/336663.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Google 应用商店上出现了一个新的安卓恶意软件，累计下载次数已经超过 300 万次，该恶意软件会秘密为用户订阅高级服务。 据悉，恶意软件名为“Autolycos”，由 Evina 的网络安全研究员 Maxime Ingrao 首次发现。研究表明，Autolycos 至少存在于八个 Android 应用程序中。 值得一提的是，在撰写本文时，其中两个应用程序仍可在 Google应用中找到（后续谷歌删除了）。仍然可用的两个应用程序分别是“Funny Camera”和“Razer Keyboard & Theme”，各自在 Google 应用商店中的安装量超过了 50万 次和 5 万次。 其余六个应用程序目前已经从 Google 应用商店中删除了，但依旧会对安装过这些应用程序的用户造成影响，以下是六款应用程序的名称及安装次数。 Vlog Star Video Editor（com.vlog.star.video.editor）-100万次下载 Creative 3D Launcher (app.launcher.creative3d) – 100万次下载 Wow Beauty Camera (com.wowbeauty.camera) – 10万次下载 Gif Emoji Keyboard (com.gif.emoji.keyboard) – 10万次下载 Freeglow Camera 1.0.0 (com.glow.camera.open) – 5000次下载 Coco Camera v1.1 (com.toomore.cool.camera) -1000 次下载 Bleeping Computer 从安全研究员 Ingrao 处获悉，他早在 2021 年 6 月就发现了这些应用程序中存在恶意软件，同一时间立刻向谷歌报告了其发现。 恶意软件事情后续的发展我们也能够看到，谷歌虽然承认收到了 Ingrao 的报告，但是大约花了半年时间才删除了 6 个恶意应用程序，另外两个至今仍在 Google 应用商店中（目前也已删除）。 Autolycos 的功能及推广 Autolycos 作为一种新型的恶意软件，能够执行隐蔽的恶意行为，如在远程浏览器上执行 URL，然后将结果纳入到 HTTP 请求中，而不是使用 Webview。这种方式旨在使其行为不显得引人注目，受感染设备的用户不会检测到。 大多情况下，感染恶意软件的应用程序会在设备上安装后，请求读取用户 SMS  内容的权限，从而允许应用程序访问受害者的 SMS 文本消息。 另外，为了向新用户推广这些应用程序，Autolycos 运营商在社交媒体上发布了许多广告活动。仅就 Razer Keyboard & Theme 而言，Ingrao 就在 Facebook 上发现了 74 次广告宣传。 最糟糕的是，虽然一些恶意应用程序在 Google 应用商店中存在一些负面评价，但是一些下载量较少的应用程序收到了大量僵尸评价，从而保持了良好的用户评价。 为了抵御恶意应用程序威胁，Android 用户应及时监控后台互联网数据和电池消耗，保持 Play Protect 处于激活状态，并尽量减少在其智能手机上安装应用程序的数量。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339133.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，谷歌将禁止俄罗斯用户和开发者从 Google Play 商店下载或更新付费应用程序。 Google 在其网站更新中声明：作为“合规”的一部分，2022 年 5 月 5 日起，Google Play 禁止俄罗斯用户或开发者下载付费应用程序和更新付费应用程序。 据悉，俄罗斯用户和开发者目前仍然可以发布和更新免费应用程序，但所有付费应用程序的更新已经被自动阻止。鉴于不能继续订阅付费应用程序，谷歌建议用户可以授予订阅计费宽限期和免费试用期，这一做法将适用于“订阅计费宽限期和任何免费试用期”。 另外，用户也可以将续订延期长达一年，此举允许用户在延期期间能够继续免费访问内容。如果用户愿意，同样可以选择免费提供应用程序，或者暂时删除付费订阅。 战争爆发后，俄罗斯禁止多款应用在境内运行 俄乌战争爆发后，谷歌开始制裁俄罗斯，3 月 10 日，首次暂停了其在俄罗斯的 Google Play 计费系统，以阻止俄罗斯用户购买应用程序和游戏，支付订阅或购买任何应用。 3 月 23 日，俄罗斯以谷歌提供有关乌克兰持续战争不可靠信息为由，禁止了 Alphabet 的新闻聚合服务 Google News 在该国运行，并阻止境内对 news.google.com 的访问。 除此之外，俄罗斯电信监管机构 Roskomnadzor 还要求 Google 停止在YouTube 视频中，传播有关俄罗斯与乌克兰战争“错误信息”的广告活动。作为回应，Google 封锁了俄罗斯国营媒体今日俄罗斯（RT）和卫星通讯社面向欧洲的 YouTube 频道。 值得一提的是，3 月初，根据总检察长办公室的要求，俄罗斯封锁了 Facebook 和 Twitter 社交网络，一周后，又禁止了Instagram。 转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332518.html 封面来源于网络，如有侵权请联系删除