黑客通过发布恶意应用程序一次又一次地绕过谷歌的审核。他们如何做到这一点？

去年 11 月，研究人员发现一种名为 Anatsa 的Android木马 的恶意活动已扩展到斯洛伐克、斯洛文尼亚和捷克共和国境内。该扩展程序是一项新活动的一部分，其中尽管 Google Play 中实施了增强的检测和保护机制，但一些恶意下载程序仍成功利用了 Android 无障碍服务。

据 ThreatFabric称，此次恶意活动中使用的所有下载器均顺利完成任务，绕过了 Android 13 的系统限制。该活动总共涉及 5 个下载器，总安装量超过 10 万次 。

Anatsa 木马（也称为 TeaBot 和 Toddler）通过 Play 商店中看似无害的应用程序进行分发。一旦安装并启动，该木马就能够完全控制受感染的设备并代表受害者执行各种操作，包括窃取欺诈交易的凭据。

引导加载程序的一个版本伪装成系统清理应用程序“Phone Cleaner – File Explorer”，使用版本控制技术注入恶意代码。也就是说，最初上传到Google Play的应用程序不包含任何恶意代码。所有恶意功能都是在后续更新中添加的，而实际上，谷歌不再对代码进行仔细审核。

为了避免在引入恶意功能后被发现，攻击者使用了多阶段感染过程。加载程序从C2服务器动态加载配置和有效负载，这使得黑客可以随时更改恶意组件。

尽管手机清理器 – 文件资源管理器应用程序不再在官方 Play 商店中提供，但仍然可以通过第三方来源下载。 据AppBrain 称 ，该应用程序在 11 月 13 日至 27 日期间被下载了约 12,000 次，然后被删除 。

ThreatFabric 指出，攻击者倾向于将攻击集中在某些地理区域，这导致短时间内出现大量欺诈案件。

ThreatFabric报告发布后，谷歌代表宣布他们已经删除了研究人员确定的所有应用程序，即：

手机清理器 – 文件资源管理器 (com.volabs.androidcleaner)

PDF 查看器 – 文件资源管理器 (com.xolab.fileexplorer)

PDF 阅读器 – 查看器和编辑器 (com.jumbodub.fileexplorerpdfviewer)

手机清理器：文件资源管理器 (com.appiclouds.phonecleaner)

PDF 阅读器：文件管理器 (com.tragisoap.fileandpdfmanager)

其中一款应用程序在 2 月 19 日被删除时已成功获得 10 万安装量。我们希望用户及时发现问题并从设备中删除伪装的滴管。

谷歌指出，由于 Play Protect 功能，Android 用户现在可以自动免受已知版本的 Anatsa 恶意软件的侵害，该功能在所有具有谷歌服务的设备上默认启用。

Play Protect 可以提醒用户并阻止已知存在恶意行为的应用程序，即使它们不是来自官方 Play 商店。

但尽管威胁已经过去，谷歌的防护措施也在不断完善，但仍然没有放松的必要。为了避免成为类似恶意软件的受害者之一，切勿安装来自未知发布者的可疑应用程序，并密切注意所需的权限。

对辅助功能服务的访问应该是您的试金石：如果应用程序请求此类权限，则它很可能是恶意的。

文章原文链接:https://www.anquanke.com/post/id/293304