Google 将拼多多应用标记为恶意程序，并将其从 Play Store 下架

Google 将拼多多应用标记为恶意程序，并将其从 Play Store 下架 Google 周一将拼多多的多个应用标记为恶意程序，Android 手机使用的安全机制 Google Play Protect 将阻止用户安装拼多多应用，对于已经安装的应用，Google 将建议用户卸载。Google 同时出于安全理由从官方应用商店 Play Store 下架了拼多多应用。在这之前，中国安全研究人员披露拼多多应用包含有恶意功能，能利用漏洞提权阻止卸载并能监视用户。拼多多 尚未对此次事件发表评论。

带有恶意SDK的 Android 应用从 Google Play 安装了 4.21 亿次

带有恶意SDK的 Android 应用从 Google Play 安装了 4.21 亿次 一种新的Android恶意软件被发现，它被作为广告SDK分发在多个应用程序中，共发现101 个应用程序，其中许多应用程序之前曾在Google Play上，累计下载次数超过4亿次。（） Dr. Web的安全研究人员发现了这个间谍模块，并将其跟踪为'SpinOk'，警告称它可以窃取用户设备上存储的私人数据并将其发送到远程服务器。 以下发现有该SDK的最多下载的应用程序列表 Noizz: 带音乐的视频编辑器 (1亿次下载) Zapya – 文件传输、分享 (1亿次下载；Dr. Web表示，该木马模块出现在版本6.3.3到版本6.4中，但在当前版本6.4.1中已不再存在) VFly: 视频编辑器&制作工具 (5000万次下载) MVBit – MV视频状态制作器 (5000万次下载) Biugo – 视频制作&编辑器 (5000万次下载) Crazy Drop (1000万次下载) Cashzine – 赚钱奖励 (1000万次下载) Fizzo Novel – 离线阅读 (1000万次下载) CashEM: 获取奖励 (500万次下载) Tick: 看视频赚钱 (500万次下载) 除了一个上述应用程序外，所有应用程序都已从 Google Play 中删除，这表明 Google 收到了有关恶意 SDK 的报告并删除了违规应用程序，直到开发人员提交了一个干净的版本。 来源 ：

ℹGoogle Play 商店发现 Fleckpe 订阅恶意软体，已被安装超过 60 万次#

ℹGoogle Play 商店发现 Fleckpe 订阅恶意软体，已被安装超过 60 万次# 我们一直倡导大家最保险就是从 Android 官方 Play 商店下载安装应用，Google 也为 Play 商店也加上很多道安全措施，但...

谷歌 Play 商店上的免费 VPN 应用将安卓手机变成代理服务器

谷歌 Play 商店上的免费 VPN 应用将安卓手机变成代理服务器 谷歌 Play 商店上有超过15款免费 VPN 应用被发现使用恶意 SDK，能在用户不知情的情况下将安卓设备变成住宅代理。住宅代理是通过位于家中的设备为其他远程用户路由互联网流量，使流量看起来合法。网络安全公司 Human 的 Satori 威胁情报团队近日发布的一份报告列出了谷歌 Play 商店上的 28 个应用，这些应用能秘密地将安卓设备变成代理服务器。在这 28 个应用中，有 17 个被伪装成免费 VPN 软件。Satori 分析师报告称，违规应用均使用 LumiApps 的 SDK，其中包含“Proxylib”。LumiApps 是一个安卓应用货币化平台，声称其 SDK 将使用设备的 IP 地址在后台加载网页并将检索到的数据发送给公司。 、

Google Play 卸载了鸿蒙系统上的拼多多APP

Google Play 卸载了鸿蒙系统上的拼多多APP 在 Google 将拼多多 在 Play 应用商店下架并标注为恶意软件后，一些鸿蒙系统的用户手机出现了一些异常。 推特用户说：Google 把我华为手机上的拼多多给卸载了，在我们鸿蒙系统上胡作非为，谁给他权限删我应用的！

Google Play 应用中存在恶意软件 SDK

Google Play 应用中存在恶意软件 SDK 第一个引起我们怀疑的应用程序是阿联酋和印度尼西亚的一款食品配送应用程序，名为中文名 ：拜托拜托 “ComeCome”（APKcom.bintiger.mall.android），研究时该应用程序已在Google Play上架，下载量超过10,000次。 Application 子类中的 onCreate 方法（应用程序的入口点之一）在版本 2.0.0 中被重写（f99252b23f42b9b054b7233930532fcd）。此方法初始化名为“Spark”的 SDK 组件。它最初是经过混淆的，因此我们在分析之前对其进行了静态反混淆。 除了 KeywordsProcessor，该恶意软件还包含另外两个处理器：DictProcessor 和 WordNumProcessor。前者使用资产中 rapp.binary 内解密存储的本地化词典过滤图像，后者按长度过滤单词。每个进程的 letterMin 和 letterMax 参数定义允许的单词长度范围。对于 DictProcessor，wordlistMatchMin 设置图像中字典单词匹配的最小阈值。对于 WordNumProcessor，wordMin 和 wordMax 定义识别单词总数的可接受范围。注册受感染设备的请求响应中的 rs 字段控制将使用哪个处理器。 符合搜索条件的图像分三步从设备下载。首先，将包含图像 MD5 哈希的请求发送到 C2 上的 /api/e/img/uploadedCheck。接下来，将图像上传到亚马逊的云存储或“rust”服务器上的 file@/api/res/send。之后，将图像链接上传到 C2 上的 /api/e/img/rekognition。因此，从软件包名称 com.spark.stat 可以看出，专为分析而设计的 SDK 实际上是选择性窃取图库内容的恶意软件。 我们问自己，攻击者在寻找什么样的图像。为了找到答案，我们从 C2 服务器请求了一系列关键字，以便进行基于 OCR 的搜索。在每种情况下，我们都会收到中文、日语、韩语、英语、捷克语、法语、意大利语、波兰语和葡萄牙语的单词。这些词都表明攻击者是出于经济动机，专门针对恢复短语（也称为“助记符”），这些短语可用于重新获得对加密货币钱包的访问权限！ 不幸的是，ComeCome 并不是我们发现的唯一一款嵌入恶意内容的应用程序。我们还发现了许多其他不相关的应用程序，涉及各种主题。截至撰写本文时，这些应用程序的安装次数总计超过 242,000 次，其中一些应用程序仍可在 Google Play 上访问。完整清单可在“入侵指标”部分找到。我们提醒 Google 其商店中存在受感染的应用程序。 此外，我们的遥测显示，恶意应用程序也通过非官方渠道传播。 不同应用的 SDK 功能可能略有不同。ComeCome 中的恶意软件仅在用户打开支持聊天时请求权限，而在其他一些情况下，启动核心功能会充当触发器