2012年7月26日，谷歌將Android Market重新命名，變?yōu)槿缃翊蠹叶炷茉數腉oogle Play。作為整個安卓系統(tǒng)最重要、最為官方的應用下載市場，10年來，Google Play已經服務了來自全球190多個國家地區(qū)的25億用戶。但正所謂樹大招風，Google Play也早已被眾多惡意軟件盯上，成為它們的集散中心。

為慶祝Google Play十周年，谷歌設計了新的標志

近兩年，Google Play惡意軟件泛濫的問題已經引起了越來越多安全機構的注意，根據2020年的一項調查研究，Google Play直接被確認為是安卓設備上安裝惡意軟件的主要來源。研究人員通過對790萬款獨立應用所涉及的3400萬個APK分析，發(fā)現有10%到24%可以被描述為惡意或不需要的應用軟件。研究人員還特別研究了這些軟件的來源路徑，結果顯示，大約67%的惡意應用軟件安裝來自Google Play。

由于Google Play惡意軟件問題越發(fā)嚴峻，安全事件頻出，FreeBuf曾在近期做過多次專門報道：

Facestealer

今年5月，趨勢科技揭露了一款名為Facestealer的間諜軟件，該軟件自去年7月被俄羅斯安全廠商Doctor Web發(fā)現以來，通過變換馬甲，偽裝成超200款應用滲透進Google Play，其中VPN類應用占比最高，達42款，其次是拍照類應用（20款）及照片編輯類應用（13款）。

Facestealer的目的是竊取用戶 Facebook賬戶的敏感信息 ，當用戶登錄 Facebook賬戶后，惡意軟件會搜集Cookie，并加密發(fā)送至攻擊者所在的遠程服務器。

Facestealer請求用戶登錄 Facebook

Autolycos

同樣是去年，網絡安全公司Evina的研究人員注意到一款名為Autolycos的惡意軟件，根據批露，有8款軟件內含Autolycos，累計下載次數超過了300萬次。作為一種新型的惡意軟件，Autolycos能夠執(zhí)行隱蔽的惡意行為，如在遠程瀏覽器上執(zhí)行 URL，然后將結果納入到 HTTP 請求中，而不是使用 Webview。這種方式旨在使其行為變得更加隱蔽，也不會被受感染設備的防護措施檢測到。

偽裝成相機應用的Autolycos

Joker

Joker與Google Play的羈絆可謂最久，這是一款向用戶惡意訂閱由攻擊者控制的高級付費服務的惡意軟件，自2017年問世以來現身頻繁。去年底，Joker被曝附身于一款名為Color Message的短信App內，下載次數達到了50萬次，并在用戶神不知鬼不覺的情況下訂閱了昂貴的云計算服務。此外，它還會訪問用戶聯系人信息，并將信息發(fā)送至由攻擊者控制的境外服務器。

下載量達50萬次的Color Message

最近，網絡安全公司Zscaler又在Google Play發(fā)現了53款含有Joker的應用軟件，累計下載次數超過了33萬次。這些應用一般通過冒充短信、照片編輯器、血壓計、表情符號鍵盤和翻譯應用程序的形式出現，一旦用戶安裝后，應用程序又要求提升設備的權限來進行其它操作。

部分含有Joker的惡意軟件

道高一尺魔高一丈

其實官方應用市場時不時冒出惡意軟件并不是什么新鮮事，哪怕是相對封閉的蘋果macOS與iOS系統(tǒng)有時也會為之困擾，據 Apple Insider 的統(tǒng)計，2022 年迄今已發(fā)現超過 3400 萬個新的惡意軟件樣本，其中macOS為 2000 個，而安卓系統(tǒng)則達到了53.6萬個，可見基于安卓系統(tǒng)自身的開放性，惡意軟件的防范難度遠非macOS與iOS能夠比擬。

在上傳至Google Play時，這些惡意軟件可通過輕量化的代碼，偽裝、克隆成合法正常的應用程序，以欺騙Google Play的安全防御檢測，即使當受害首次下載安裝時也看不出任何端倪，而一旦獲取了用戶設備相應的權限，這些惡意軟件才逐漸浮現出廬山真面目——比如通過Dropper（滴管）技術，在受害者設備上逐步部署帶有惡意功能的有效載荷。

為了盡可能多地持續(xù)性繞過檢測，這些惡意軟件也會不斷升級優(yōu)化，也會善于利用通用工具進行混淆，比如Joker曾利用由谷歌設計的開源應用開發(fā)工具包Flutter來逃避基于設備和應用商店的安全檢測，它能允許開發(fā)者從一個代碼庫中為移動端、網絡端和桌面端制作本地應用。由于Flutter的通用性，惡意軟件代碼也可以輕松繞過檢查。

面對惡意軟件泛濫，谷歌表示，僅在2021年就封禁了 190000 個惡意和垃圾郵件開發(fā)者賬戶，120 萬款違反 Google Play 政策的應用被刪除，但這并不表示這些刪除都是及時的。如前文所述，去年6月，網絡安全公司Evina發(fā)現了8款內含Autolycos的惡意軟件，并隨即向谷歌做了匯報，但谷歌花了長達約半年的時間才刪除了其中的 6 款軟件，另外兩款直到今年7月初才被刪除。正是由于許多惡意軟件仍需要安全公司甚至用戶主動發(fā)現并上報，再經過谷歌一定時間的審核確認，導致不少惡意軟件在被刪除前已被下載了數萬次，在這期間，攻擊者可能已或多或少達成了他們的目的。

對于主要依靠事后刪除這種治標不治本的做法，谷歌也嘗試過擴大其檢測和防御手段，但這些惡意軟件的更新迭代也在不斷加快，總能找到空子趁機溜入。今年4月，谷歌通過了一系列新的開發(fā)策略，要求自 2022 年 11 月 1 日起，所有新發(fā)布的應用程序必須對標最新Android系統(tǒng)版本發(fā)布后一年之內與之相匹配的API 級別，否則將不得上架Google Play；而現有應用若兩年內未對標相應API級別，則會被Google Play移除。

新發(fā)布應用的 API 級別定位要求

這一變化旨在要求應用程序開發(fā)人員采用更嚴格的 API 策略來支持較新的 Android 版本，以針對目前的安全威脅，獲得更好的權限管理和撤銷、通知反劫持、數據隱私增強、網絡釣魚檢測、屏幕啟動限制等功能。

另外一項政策便是收緊了“REQUEST_INSTALL_PACKAGES”權限，以針對一些應用在上架Google Play時通過提交看似正常的代碼騙過審核，并在被下載后部署惡意模塊。該政策已于7 月 正式生效，適用于所有使用 API 級別為 25 (Android 7.1) 及更高版本的應用，使用此權限的應用程序在安裝或更新時僅能獲取經過數字簽名的數據包，且不得執(zhí)行自我更新、修改或在文件中捆綁其他 APK的操作。

這些政策能給谷歌防范惡意軟件帶來多大幫助目前還不得而知，但有一點可以肯定，惡意軟件如同經久不衰的DDoS以及APT攻擊，攻擊者總能找到突破口實施入侵。對于Google Play，谷歌所要做的就是盡可能地快人一步，不斷升級安全措施，及時發(fā)現并阻止惡意軟件，盡量減小它們對用戶構成的威脅。