欢迎收看风火轮技术团队第一前沿资讯，我是本文报道员小风风。

谈到goole play，各位肯定并不陌生，小风风也相信在座各位的手机里多少也安装过google play。近日，google play被曝多年来一直在传播高级Android恶意软件，你的手机是否也是目标对象其一呢？

谷歌研究人员在星期二说，黑客已经使用Google Play多年来分发一个异常先进的后门程序，该后门程序能够窃取各种敏感数据。

卡巴斯基实验室的代表说，安全公司卡巴斯基实验室的研究人员已经回收了至少八个可追溯到2018年的Google Play应用程序，但是基于档案搜索和其他方法，研究人员认为，自同一高级团队以来，恶意应用程序就为Google的正式市场注入了种子，至少在2016年是这样。

(google play正入侵大部分Android用户机)

卡巴斯基(Kaspersky)的研究人员和更早的安全公司Dr. Web报道了此恶意软件后不久，Google便删除了该恶意软件的最新版本。较早版本的应用程序已被删除，目前尚不清楚是什么促使了此举。第三方市场也托管了后门应用程序，其中许多仍然可用。

命令与控制域早在2015年就已注册，从而有可能使该操作早于2016年进行。它所连接的恶意软件和命令服务器中的代码与已知的名为OceanLotus(又名APT32，APT- C-00和SeaLotus)，使研究人员相信这些应用程序是该高级小组的工作。

反复绕过Google安全检查

该活动背后的攻击者使用了几种有效的技术来反复绕过Google使用的审查程序，以阻止恶意应用进入Play。一种方法是首先提交一个良性版本的应用程序，然后仅在该应用程序被接受后才添加后门。另一种方法是在安装过程中需要很少甚至不需要权限，然后使用隐藏在可执行文件中的代码动态地请求它们。伪装成浏览器清理器的最新应用之一。

(google play被揭露含有数百个恶意应用)

在一段时间内，这些应用程序提供了后门程序，可收集有关受感染手机的数据，包括硬件型号，运行的Android版本以及已安装的应用程序。基于该信息，攻击者可以使用恶意应用下载并执行特定于特定受感染设备的恶意有效负载。有效载荷可以收集位置，呼叫日志，联系人，短信和其他敏感信息。

通过自定义有效载荷，并且不将不需要的组件加载到设备中，攻击者可以进一步逃避检测。与此不同的是，后来的应用程序在下载的APK本身中包含了恶意负载。

卡巴斯基实验室研究人员Alexey Firsh和Lev Pikman在帖子中写道：“我们对所有这些版本控制操作的原因的主要理论是，攻击者正试图使用​​多种技术来实现其关键目标，从而绕过Google官方市场过滤器。” “并实现了他们的目标，甚至该版本也通过了Google的过滤器，并于2019年上传到Google Play商店。”

(Google play恶意应用之一)

Google官员拒绝透露该公司如何或什至正在努力防止恶意应用程序使用所描述的绕过应用程序审查过程的技术。相反，官员发表声明说：“我们一直在努力提高检测能力。我们感谢研究人员与我们分享他们的发现所付出的努力。此后，我们对他们确定的所有应用采取了行动。”

输入幻影

大多数应用程序都包含需要扎根手机的功能。这将要求应用程序在具有已知根本漏洞的设备上运行，或者要求攻击者利用Google或公众尚未知道的漏洞。卡巴斯基实验室的研究人员并未在应用程序本身中发现任何本地特权提升漏洞，但他们并未排除使用此类攻击的可能性。

但是，有一个重要功能，可以部分回答此问题：恶意软件能够从c2服务器下载并执行其他有效负载。因此，以下情况是可能的：首先，他们可以窃取某种设备信息，例如操作系统版本，已安装的应用程序列表等。然后，基于此初始信息，如果此被感染的特定设备看起来很容易被渗透，则攻击者可以发送适用于其Android版本的特定有效负载，例如可以是LPE利用。我们无法获得任何这些有效载荷。正如我所提到的，这些家伙在OPSEC方面非常擅长，因此我们无法确认这些有效载荷到底是什么样子。

另一个证明应用程序复杂性的新颖性：当可以访问root特权时，恶意软件使用对未记录的称为“ setUidMode”的编程接口的反射调用来获得许可，而无需用户参与。卡巴斯基实验室确定的应用程序包括：

包裹名字

Google Play持续日期(至少)

com.zimice.browserturbo

2019-11-06

康乃馨

2019-07-10

com.unianin.adsskipper

2018-12-26

com.codedexon.prayerbook

2018-08-20

com.luxury.BeerAddress

2018-08-20

com.luxury.bifinball

2018-08-20

com.zonjob.browsercleaner

2018-08-20

com.linevial​​ab.ffont

2018-08-20

卡巴斯基实验室的研究人员将这场运动称为“ PhantomLance”。基于前面提到的重叠部分，研究人员对OceanLotus进行了长达数年的一系列攻击具有中等信心。研究人员说，该组织主要袭击亚洲各国政府，持不同政见者和新闻记者，特别关注对越南利益不利的目标。应用程序名称和其他字符串用越南语书写。关于OceanLotus的先前报告在此处，此处和此处。

Google play曾被用于间谍活动！

研究人员说，埃及在针对自己公民的间谍活动中使用了Google Play。

(Google play已利用间谍软件攻击成千上万个Android用户)

与富裕政府有联系的高级黑客们并不是第一次使用Play传播恶意软件。今年早些时候，研究人员发现了SideWinder开发的 Google Play应用，这是一个至少自2012年以来一直针对军事实体的恶意黑客组织的代号。2019年，埃及利用Google的官方市场感染了其本国公民。除此之外，google play的其他黑客活动尚未得到公布，但这并不意味着不存在。

在小风风看来，当下信息飞速发展的时代，保护好个人隐私尤为重要。对于外来Android软件或不知名应用，如果并非十分了解的话，尽量还是少下载为妙。

关注风火轮，技术之路常相伴，我是小风风，我们下期见！