Google Play和APP Store作為我們日常生活中最耳熟能詳的兩大應用商店，在提供便利的同時，也藏匿著諸多安全風險。Google Play因其寬松的網絡環境，成為了惡意軟件繁育的溫床。而蘋果生態雖然是出了名的“干凈”，但也難逃惡意軟件的偽裝。

近年來，兩大平臺均實施了多項舉措，試圖通過強力整頓一改此前APP雜亂無序、野蠻生長的局面。雖然這些年確實取得了一些成效，但仍然有不少“漏網之魚”，給用戶造成了嚴重后果。

2023年1月至今，僅短短9個月時間，這兩大應用商店均已曝出多個惡意應用“潛藏”竊取用戶信息的新聞。

今年6月20日，蘋果App Store上出現一款假冒Trezor的惡意應用程序Trezor Wallet Suite，該應用僅上架幾周就竊取了數千人的資金。該惡意程序最初由The Crypto Lawyers的管理合伙人Rafael Yakobi發現，可跟蹤用戶的投資組合并交易資產。

如果用戶忘記了錢包應用的登錄細節，錢包供應商會要求他們離線存儲種子短語。種子短語是最后一道防線，用戶只能用它從錢包應用程序中收回資金。Trezor為用戶提供了Shamir備份，以幫助他們生成多個種子短語，這些種子短語可以存儲在不同的物理位置。

下載應用程序后，用戶可以選擇一定數量的短語來解鎖資金。例如，他們可以生成三個種子短語，但只需要兩個就可以解鎖他們的資金。而使用假冒的Trezor Wallet Suite泄露種子短語的用戶可能創建了一個種子短語。生成多個種子短語需要用戶創建新的錢包。

多個種子短語可以確保即使假冒應用獲取了一個短語，它也無法訪問用戶資金。這款假冒應用曾一度成為英國區App Store搜索量第二高的應用，這實在令人哭笑不得。

雖然蘋果聲稱 App Store“是一個你可以信任的地方”，并且反對側載（sideloading），但現實生活中卻是即使蘋果也不能完全保證 App Store 中沒有詐騙應用。

相比于macOS與iOS，安卓系統基于其自身的開放性，惡意軟件的防范難度比蘋果更甚。Google Play惡意軟件問題十分嚴峻，安全事件頻出。比如：

今年5月，偽裝成營銷軟件開發工具包（SDK）的間諜軟件被發現進入101個安卓應用程序，其中許多以前在Google Play上，下載量超過4億次。

Doctor Web的研究人員稱這種惡意SDK為 "SpinOk"，并報告說，它擁有一攬子營銷功能，如小游戲和抽獎，以保持訪問者長時間使用應用程序。

研究人員進一步解釋說："在初始化時，這個木馬SDK通過發送一個包含有關受感染設備的的請求，連接到一個C2服務器。包括來自傳感器的數據，如陀螺儀、磁力計等，可用于檢測模擬器環境并調整模塊的操作程序，以避免被安全研究人員發現"。

今年 7 月，安全人員 Pradeo 發現 Google Play 中存在兩款偽裝成文件管理器的惡意應用。這兩款惡意應用名為“File Recovery & Data Recovery”及“File Manager”，在安裝后便會要求用戶給予權限，此后便會在系統后臺常駐。

圖源：Pradeo

這兩款惡意軟件會搜集受害手機中的通訊錄名單、社交網站賬號、GPS 地理位置信息、相冊及視頻文件、手機具體型號、操作系統版本、運營商、手機號碼等，并傳輸至黑客處。據統計，這兩款應用截至下架前已經分別被下載 100 萬次、50 萬次以上。

今年9月，Google Play 中出現了偽裝成Telegram修訂版的間諜軟件，該軟件可入侵安卓設備并獲取敏感信息。這種惡意軟件不僅可以竊取用戶的姓名、ID、聯系人、電話號碼和聊天信息，還能將這些信息傳輸至惡意行為者的服務器上。

俄羅斯網絡安全公司將這種活動命名為 Evil Telegram。這些軟件在被谷歌商店下架前，已經被下載了數百萬次。

Google Play惡意軟件泛濫的問題已經引起了越來越多安全機構的注意，根據此前的一項調查研究結果顯示：Google Play直接被確認為是安卓設備上安裝惡意軟件的主要來源。

這些惡意軟件是如何“逃”過安全監測的

在移動應用市場蓬勃發展的今天，惡意軟件的威脅也愈加嚴峻。盡管應用市場開發者采取了一系列安全措施，如代碼審查、權限管理和黑名單機制，但惡意軟件開發者仍然找到了諸多繞過安全監測的方式，這給用戶的設備安全和隱私帶來了巨大的風險。

一般來說，惡意軟件比較常用的繞過方式有以下幾種，我們來逐一看看：

1.利用版本控制

根據此前谷歌云安全團隊的調查研究顯示，惡意行為者在躲過Google Play商店的審查流程和安全控制后，會使用一種被稱為版本控制的常見策略，在Android設備上植入惡意軟件。

該技術通過向已安裝的應用程序提供更新來引入惡意有效負載，或者通過所謂的動態代碼加載(DCL)從威脅參與者控制的服務器加載惡意代碼。

它允許攻擊者繞過應用商店的靜態分析檢查，在Android設備上以原生、Dalvik或JavaScript代碼的形式部署有效負載。

谷歌在今年的威脅趨勢報告中提到：惡意行為者試圖規避 Google Play 安全控制的一種方式是版本控制。

比如，開發者會在Google Play應用商店發布一個看似合法并通過谷歌檢查的應用程序初始版本，但隨后用戶會收到來自第三方服務器的更新提示，這時候終端用戶設備上的代碼會被改變，這樣威脅者就可以實施惡意活動，從而實現版本控制。

所有提交到 Play Store 的應用程序和補丁都要經過嚴格的 PHA（潛在有害應用程序）篩選，但 "其中一些控制 "被 DCL 繞過。

此類活動的應用程序違反了Google Play欺騙行為政策，可能被谷歌方面貼上后門標簽。

根據該公司的 Play Policy Center 指導方針，通過 Google Play 發布的應用程序禁止通過 Google Play 提供的官方更新機制以外的任何方式進行更改、替換或更新。

2.偽裝成合法應用

像上文提到的冒牌Telegram修訂版間諜軟件就是采用了這個方法，其與 Play Store 版 Telegram 相關的軟件包名稱是 "org.telegram.messenger"，而直接從 Telegram 網站下載的 APK 文件的軟件包名稱是 "org.telegram.messenger.web"。

惡意軟件包名稱中使用的"wab"、"wcb "和 "wob "更加表明了威脅行為者是通過這樣的錯別字搶注技術來冒充真正的Telegram應用程序，以達到掩人耳目的目的。

乍一看，這些應用程序似乎是帶有完整的本地化界面的Telegram克隆版。這個克隆版軟件從外觀界面、甚至操作運行起來都與真品幾乎一樣。僅有一個非常小的區別，就是受感染的版本包含一個額外的模塊，因此沒有引起 Google Play 管理員的注意。

斯洛伐克網絡安全公司在2023年3月也曾發現過類似的山寨 Telegram 和 WhatsApp 應用程序，這些應用程序帶有剪切功能，可以攔截和修改聊天信息中的錢包地址，并將加密貨幣轉賬重定向到攻擊者的錢包。

3.利用漏洞躲過安全檢測

還有一些惡意軟件開發者會利用應用程序中的漏洞或者零日漏洞來繞過應用市場的檢測，以執行惡意操作。這些漏洞可能包括操作系統、應用程序或者應用程序庫的漏洞。此前微軟的首席安全研究員 Jonathan Bar Or 發現，通過能夠繞過Gatekeeper 應用執行限制的不可信應用程序，攻擊者利用CVE-2022-42821就能在易受攻擊的macOS設備上部署惡意軟件。

Gatekeeper 是一個macOS 安全特性，可自動檢查從互聯網上下載的所有應用（前提是獲得公正和開發人員簽名），在發出應用不可信的警報之前請求用戶進行確認。而這是通過檢查一個擴展屬性com.apple.quarantine 實現的，該屬性由web瀏覽器分配給所有已下載文件，這一機制類似于Windows 中的Mark of the Web機制。

該漏洞可導致特殊構造的payload濫用一個邏輯問題設立限制性訪問控制清單 (ACL) 權限，阻止web瀏覽器和Internet 下載工具為payload歸檔為ZIP文件的下載內容設立com.apple.qurantine 屬性。結果，所歸檔的惡意payload 中所包含的惡意app在目標系統上啟動，而非被Gatekeeper 攔截，從而導致攻擊者下載并部署惡意軟件。

這是近年來發現的其中一個Gatekeeper 繞過，其中很多被用于繞過類似于的macOS 安全機制，如Gatekeeper、File Quarantine和SIP等。

4.動態加載惡意代碼

此外，還有某些惡意軟件在初次安裝時可能并不包含完整的惡意代碼，而是在用戶使用過程中動態加載。這就使得應用市場可能無法在軟件安裝階段檢測到惡意代碼。惡意軟件可通過這樣的方式繞過安全監測。

當用戶下載這些App時，首次安裝時，用戶依然可以正常使用，但他們不知道的是，未知的第三方在后臺已經悄悄發出了下載遠程配置文件的請求。

當惡意組件下載成功后，會開始顯示廣告，讓軟件開發者可以通過受感染的Android設備賺錢。該應用軟件的配置文件由攻擊者遠程控制，此外開發者對App源代碼中的一些關鍵字進行編碼和加密，使其能夠順利逃避Google Play的嚴格安全檢測。

即便如今的APP Store和Google Play已經對惡意軟件采取了反制措施，但道高一尺魔高一丈，“狡猾”的惡意軟件總能鉆到新“空子”。

5.兩大應用市場均已采取反制措施

事實上從iOS 7開始，蘋果公司就引入了“蘋果簽名機制”的安全特性。這個特性的目的是確保只有經過蘋果公司授權的應用程序才能在iOS設備上運行。具體來說，蘋果公司會為每個應用程序頒發一個數字簽名證書，該證書用于驗證該應用程序的身份。當用戶嘗試安裝應用程序時，iOS會檢查該應用程序是否經過蘋果公司授權。如果沒有經過授權，該應用程序將無法安裝。

除了數字簽名證書外，蘋果公司還引入了另一個名為“應用互聯”的特性。該特性的目的是確保用戶只能安裝來自蘋果應用商店的應用程序。具體來說，應用互聯會驗證應用程序的來源，以確保它來自蘋果應用商店。如果應用程序沒有來自蘋果應用商店將無法安裝。

另一方面，谷歌也在近日公布了惡意軟件反制措施，要求所有以機構名義注冊的新開發者賬戶在提交應用程序之前提供一個有效的D-U-N-S號碼。

D-U-N-S(數據通用編號系統)是由商業數據和商業分析公司Dun & Bradstreet分配給各企業的九位標識符，每個號碼都是獨一無二的。向Dun & Bradstreet申請D-U-N-S號碼的組織必須提交幾份文件來完成驗證信息，這個過程可能需要長達30天的時間才能完成。

D-U-N-S是全球公認的專有標準數據通用編號系統。同時，美國政府、歐盟委員會、聯合國和蘋果公司等均在使用該系統，其市場認可度極高，被認為是十分值得信賴的。

通過要求軟件開發商提供D-U-N-S編號，谷歌還將加大惡意應用發行商在應用商店重新注冊的難度，一旦被判定為惡意軟件被駁回，再想要入駐該平臺需重新成立一家新公司。

這項新措施或許能有效提高平臺的安全性和可信度，遏制新賬戶提交惡意軟件的行為。

想避免下載到惡意軟件，我們該如何做？

如果想要最大程度的規避惡意軟件，除了應用市場開發者應不斷改進安全監測機制，提高對惡意軟件的檢測和防護能力以外，作為用戶，我們在日常下載應用的過程中應選擇可信的應用來源，及時升級操作系統和應用程序，以及使用安全軟件來保護自己的設備。

我們在下載應用之前，也可通過查看其他用戶對該應用的評價，這有助于了解其他人的使用體驗和是否有關于潛在的惡意行為的警告。如果應用的評價較低或存在大量負面評論，那么這可能是一個下載應用前的警示信號。

同時，避免點擊來自陌生或不可信的鏈接也十分重要。惡意軟件開發者經常利用釣魚和欺騙等社交工程技術來引誘用戶點擊惡意鏈接并下載惡意應用。一定要謹慎對待來自未知發送者或懷疑鏈接真實性的信息。在下載應用之前，也要盡可能細致地閱讀并了解應用所要求的權限。如果一個應用的權限請求與其功能不符合，或者權限請求過于冗余，那這也可能是一個潛在的惡意軟件指示。使用app時，只授予其必要的權限，也能夠有效降低惡意軟件對設備和個人隱私的風險。

惡意軟件開發者還常常會利用已知的操作系統和應用程序漏洞來入侵設備。為了防止這種情況發生，及時更新操作系統以及最新的安全補丁和修復程序也是十分必要的。

時至今日，“詭計多端”的惡意軟件依舊猖獗，一個不留神就可能潛入應用市場中，給我們的設備帶來嚴重的安全風險。雖然應用市場已經筑起了牢固的“防火墻”，但依舊是防不勝防。惡意軟件開發者也在與時俱進，不斷改變策略，想方設法地繞過應用市場的安全監測機制獲取利益。

但于我們用戶而言，細心篩選應用下載來源、注意權限請求、讀取用戶評價、安裝安全防護軟件以及定期更新操作系統和應用程序，勢必可以大大減少下載到惡意軟件的風險。

無論是對于App Store還是 Google Play 來說，防范惡意軟件必將是一場持久戰。“嚴字當頭、長管長嚴”，無疑是打好護航應用安全這場“持久戰”的關鍵所在。