暗网上出售的Google Play威胁概述

lucywang 技术 2023-05-01 12:00:00

48827

导语：本文的研究起始于用户投诉，有用户投诉在Google Play上发现了许多恶意和不需要的应用程序，为此卡巴斯基实验室的研究人员决定分析一下暗网上此类恶意软件的供求情况。

sl-abstract-mobile-phone-malware-danger-blue-red-binary-code-1-1200x600.jpg

2022年，卡巴斯基安全解决方案检测到近170万个针对移动用户的恶意软件或不需要的软件装入程序。尽管传播此类装入程序的最常见方式是通过第三方网站和不正规的应用商店，但它们的开发者也会想方设法将它们上传到Google Play等官方商店，以提高传播范围。

这些应用程序通常受到严格监管，并且在发布之前有专门人员对其进行预审核。可防不胜防，恶意和不需要的软件开发者使用了各种技巧来绕过平台检查。例如，他们可能会上传一个良性的应用程序，然后用恶意或可疑的代码更新它，感染新用户和已经安装该应用的用户。恶意应用程序一被发现就会从Google Play中删除，但有时是在下载多次之后才能被发现。

本文的研究起始于用户投诉，有用户投诉在Google Play上发现了许多恶意和不需要的应用程序，为此卡巴斯基实验室的研究人员决定分析一下暗网上此类恶意软件的供求情况。分析这种威胁是如何产生的尤为重要，因为许多攻击者经常会集团化运作，买卖Google Play账户、恶意软件、广告服务等。这是一个完整的地下世界，有自己的规则、市场价格和声誉机构，我们会在本报告中对此进行概述。

分析方法

使用卡巴斯基数字足迹分析功能，研究人员收集到了Google Play此类情况的数据。卡巴斯基数字足迹会对文本存储网站和受限制的地下在线论坛进行监控，以发现泄露的账户和信息泄露。本报告中提供的报价发布于2019年至2023年，来自九个最受欢迎的论坛，用于购买和销售与恶意软件和不需要的软件相关的商品和服务。

主要发现

能够将恶意或不需要的应用程序发送到Google Play的装入程序的价格在2000美元到20000美元之间。

为了使攻击不被发现，很大一部分攻击者严格通过论坛和Telegram进行谈判。

最流行的隐藏恶意软件和不需要的软件的应用程序类别包括加密货币跟踪器、金融应用程序、二维码扫描仪，甚至约会应用程序。攻击者接受三种主要的支付方式：一部分利润、订阅费或租金以及一次性支付。

攻击者推出谷歌广告吸引更多人下载恶意和不需要的应用程序。广告的费用取决于目标国家。美国和澳大利亚用户的广告费用最高，高达1美元左右。

暗网上提供的恶意服务类型

与合法的在线市场一样，暗网上也有各种优惠，供有不同需求和预算的客户使用。在下面的屏幕截图中，你可以看到一个优惠列表，其中介绍了针对Google Play用户可能需要的不同商品和服务的数量。这份清单的开发者认为价格太高，然而，它们与我们在其他暗网优惠中看到的价格并不矛盾。

攻击者购买的主要产品是开发人员的Google Play帐户，这些帐户可以被攻击者使用窃取的身份攻击或注册，以及帮助买家将其创作上传到Google Play的各种工具的源代码。此外，攻击者还提供VPS（售价300美元）或虚拟专用服务器等服务，攻击者使用这些服务来控制受感染的手机或重定向用户流量，以及基于网络的注入。网络注入是一种监控受害者活动的恶意功能，如果他们打开了攻击者感兴趣的网页，注入器就会将其替换为恶意网页。这种功能的售价为每个25-80美元。

一家暗网服务提供商称这些价格太高，并指出他们以更低的价格出售同样的服务

Google Play装入程序

在分析的大多数优惠中，攻击者出售Google Play装入程序，其目的是将恶意或不需要的代码注入Google Play应用程序。然后，该应用程序会在Google Play上更新，受害者可能会将恶意更新下载到他们的手机上。根据注入到应用中的具体内容，用户可能会获得更新的最终有效载荷，或者收到通知，提示他们启用未知应用的安装，并从外部来源安装。

在后一种情况下，除非用户同意安装额外的应用程序，否则通知不会消失。安装应用程序后，攻击者需要获得访问手机关键数据的权限，如辅助服务、摄像头、麦克风等。受害者可能无法使用原始的合法应用程序，直到他们给予执行恶意活动所需的权限。一旦所有请求的权限都被授予，用户最终能够使用应用程序的合法功能，但与此同时，他们的设备也会受到感染。

为了说服买家购买其开发的装载程序，攻击者有时会提供视频演示，并向潜在客户发送演示版本。在装入程序功能中，他们的开发者可能会强调用户友好的UI设计、方便的控制面板、目标国家过滤器、对最新Android版本的支持等等。攻击者还可能为木马应用程序添加检测调试器或沙箱环境的功能。如果检测到可疑环境，装入程序可能会停止操作，或通知攻击者它可能已被安全调查人员发现。

Google Play装入程序是暗网上Google Play攻击中最受欢迎的产品

装入程序的开发者通常会指定装入程序使用的合法应用程序的类型。恶意软件和不需要的软件经常被注入加密货币跟踪器、金融应用程序、二维码扫描仪甚至约会应用程序。攻击者还强调了目标应用程序的合法版本有多少下载量，这意味着有很多潜在受害者会通过使用恶意或不需要的代码更新应用程序而被感染。最常见的情况是，开发者承诺在下载量达到或超过5000次的应用程序中注入代码。

攻击者出售将代码注入加密货币跟踪器的Google Play装入程序

绑定服务

暗网上另一个常见的服务是绑定服务。本质上，这些装入程序与Google Play装入程序做的事情完全相同，即在合法应用程序中隐藏恶意或不需要的APK文件。然而，与装入程序不同的是，装入程序会调整注入的代码以通过Google Play上的安全检查，绑定服务会将恶意代码插入到不一定适合官方Android市场的应用程序中。通常情况下，使用绑定服务创建的恶意和不需要的应用程序通过钓鱼短信、带有破解游戏和软件的可疑网站等方式传播。

由于绑定服务的成功安装率低于装入程序，因此两者在价格上有很大差异：装入程序的成本约为5000美元而绑定服务的成本通常约为50 - 100美元或每个文件65美元。

开发者对绑定服务的描述

开发者广告中列出的绑定服务的优势和功能通常与装入程序的优势和特点相似。不过，Binder（Binder 是一种进程间通信机制,基于开源的 OpenBinder实现）通常缺乏与Google Play相关的功能。

恶意软件模糊处理

恶意软件模糊处理的目的是通过使恶意代码复杂化来绕过安全系统。在这种情况下，买家要么为处理单个应用程序付费，要么为订阅付费，例如，每月付费一次。服务提供商甚至可以为购买套餐提供折扣。例如，其中一个开发者以440美元的价格提供50个文件的模糊处理，而同一提供商仅处理一个文件的成本约为30美元。

Google Play威胁模糊处理优惠，每次50美元

安装

为了增加恶意应用程序的下载量，许多开发者甚至通过谷歌广告来增加销路。与其他暗网服务不同，这项服务是完全合法的，用于吸引尽可能多的应用程序下载，无论它是仍然合法的应用程序还是已被感染的应用程序。安装成本取决于目标国家。均价为0.5美元，报价从0.1美元到1美元不等。在下面的截图中，面向美国和澳大利亚用户的广告成本最高，为0.8美元。

开发者规定了每个国家的安装价格

其他服务

暗网开发者也会为买家发布恶意或不需要的应用程序。在这种情况下，买家不会直接与Google Play互动，但可以远程接收应用程序活动的成果，例如，所有被其窃取的受害者数据。

平均价格和常见销售规则

卡巴斯基的专家分析了提供Google Play相关服务的暗网广告的价格，发现买家可以接受不同的支付方式。这些服务可以以最终利润的份额提供，也可以以一次性价格出租或出售。一些开发者也会拍卖他们的商品：由于出售的商品数量有限，它们不太可能被发现，所以买家可能愿意为它们竞价。例如，在研究人员发现的一次拍卖中，Google Play装入程序的起拍价是1500美元，最终7000美元成交。