谷歌：安卓恶意软件通过版本控制潜藏在Google Play商店

谷歌云安全团队近日表示 ，谷歌恶意行为者在躲过Google Play商店的安卓审查流程和安全控制后
，会使用一种被称为版本控制的恶意常见策略
，在Android设备上植入恶意软件。软件

该技术通过向已安装的通过应用程序提供更新来引入恶意有效负载，或者通过所谓的版本动态代码加载(DCL)从威胁参与者控制的服务器加载恶意代码 。

它允许攻击者绕过应用商店的控制静态分析检查
 ，在Android设备上以原生、潜藏Dalvik或JavaScript代码的服务器租用商店形式部署有效负载 。

谷歌在今年的谷歌威胁趋势报告中提到：恶意行为者试图规避 Google Play 安全控制的一种方式是版本控制。

比如，安卓开发者会在Google Play应用商店发布一个看似合法并通过谷歌检查的恶意应用程序初始版本 ，但随后用户会收到来自第三方服务器的软件更新提示 ，这时候终端用户设备上的通过代码会被改变 ，这样威胁者就可以实施恶意活动 ，版本从而实现版本控制 。源码下载

谷歌表示 ，所有提交到 Play Store 的应用程序和补丁都要经过严格的 PHA（潜在有害应用程序）筛选，但 "其中一些控制 "被 DCL 绕过。

Play Store通过版本控制绕过安全控制（图源：Google）

谷歌方面表示：此类活动的应用程序违反了Google Play欺骗行为政策 ，可能被贴上后门标签
。

根据该公司的 Play Policy Center 指导方针，通过 Google Play 发布的应用程序禁止通过 Google Play 提供的官方更新机制以外的任何方式进行更改
、免费模板替换或更新。

此外，应用程序严禁从外部资源下载可执行代码（如 dex 、JAR 或 .so 文件0）到官方 Android 应用商店。

谷歌还强调了一种名为 SharkBot的恶意软件变种，该软件最早由 Cleafy 的威胁情报团队于 2021 年 10 月首次发现。SharkBot 是一种银行恶意软件 ，在入侵安卓设备后会通过自动转账服务（ATS）协议进行未经授权的转账。

为了躲避 Play Store 系统的检测
，香港云服务器SharkBot 的威胁制造者采用了一种现在常见的策略 
，即在 Google Play 上发布功能有限的版本，掩盖其应用程序的可疑性质。

然而，一旦用户下载了木马应用程序，就会下载完整版的恶意软件 。

Sharkbot 伪装成安卓杀毒软件和各种系统实用程序，通过 Google Play 商店的恶意行为提交检查，源码库成功感染了成千上万的用户。

网络安全记者Brian Krebs强调了 ThreatFabric 安全研究人员最近公布的一种不同的移动恶意软件混淆技术 。这种方法能有效破解谷歌的应用程序分析工具，使其无法扫描恶意 APK（安卓应用程序包）。因此
，尽管这些有害的 APK 被标记为无效 ，仍能成功安装到用户的设备上 。