Google Play 应用中存在恶意软件 SDK

Google Play 应用中存在恶意软件 SDK 第一个引起我们怀疑的应用程序是阿联酋和印度尼西亚的一款食品配送应用程序，名为中文名 ：拜托拜托 “ComeCome”（APKcom.bintiger.mall.android），研究时该应用程序已在Google Play上架，下载量超过10,000次。 Application 子类中的 onCreate 方法（应用程序的入口点之一）在版本 2.0.0 中被重写（f99252b23f42b9b054b7233930532fcd）。此方法初始化名为“Spark”的 SDK 组件。它最初是经过混淆的，因此我们在分析之前对其进行了静态反混淆。 除了 KeywordsProcessor，该恶意软件还包含另外两个处理器：DictProcessor 和 WordNumProcessor。前者使用资产中 rapp.binary 内解密存储的本地化词典过滤图像，后者按长度过滤单词。每个进程的 letterMin 和 letterMax 参数定义允许的单词长度范围。对于 DictProcessor，wordlistMatchMin 设置图像中字典单词匹配的最小阈值。对于 WordNumProcessor，wordMin 和 wordMax 定义识别单词总数的可接受范围。注册受感染设备的请求响应中的 rs 字段控制将使用哪个处理器。 符合搜索条件的图像分三步从设备下载。首先，将包含图像 MD5 哈希的请求发送到 C2 上的 /api/e/img/uploadedCheck。接下来，将图像上传到亚马逊的云存储或“rust”服务器上的 file@/api/res/send。之后，将图像链接上传到 C2 上的 /api/e/img/rekognition。因此，从软件包名称 com.spark.stat 可以看出，专为分析而设计的 SDK 实际上是选择性窃取图库内容的恶意软件。 我们问自己，攻击者在寻找什么样的图像。为了找到答案，我们从 C2 服务器请求了一系列关键字，以便进行基于 OCR 的搜索。在每种情况下，我们都会收到中文、日语、韩语、英语、捷克语、法语、意大利语、波兰语和葡萄牙语的单词。这些词都表明攻击者是出于经济动机，专门针对恢复短语（也称为“助记符”），这些短语可用于重新获得对加密货币钱包的访问权限！ 不幸的是，ComeCome 并不是我们发现的唯一一款嵌入恶意内容的应用程序。我们还发现了许多其他不相关的应用程序，涉及各种主题。截至撰写本文时，这些应用程序的安装次数总计超过 242,000 次，其中一些应用程序仍可在 Google Play 上访问。完整清单可在“入侵指标”部分找到。我们提醒 Google 其商店中存在受感染的应用程序。 此外，我们的遥测显示，恶意应用程序也通过非官方渠道传播。 不同应用的 SDK 功能可能略有不同。ComeCome 中的恶意软件仅在用户打开支持聊天时请求权限，而在其他一些情况下，启动核心功能会充当触发器

ℹGoogle Play 商店发现 Fleckpe 订阅恶意软体，已被安装超过 60 万次#

ℹGoogle Play 商店发现 Fleckpe 订阅恶意软体，已被安装超过 60 万次# 我们一直倡导大家最保险就是从 Android 官方 Play 商店下载安装应用，Google 也为 Play 商店也加上很多道安全措施，但...

Android 15不再支持安装Android 7.0(SDK 24)之前的应用以提高安全性

Android 15不再支持安装Android 7.0(SDK 24)之前的应用以提高安全性 为什么某些开发商热衷于使用老旧的 SDK 版本呢？原因在于很久以前的这些老旧版本在权限管理方面不够精细，导致应用程序甚至可以无需经过用户同意就获得某些隐私权限。不过这种情况在 Android 14 中就得到了比较好的解决，这些开发商主要利用的是 Android 6.0 SDK 23 之前的版本，而 Android 14 必须安装 SDK 23 及之后的应用程序。今年Google继续提高Android新版本的 SDK 级别，最新要求是 Android 15 只能安装基于 Android 7.0 SDK 24 及之后的应用程序，对于通过 SDK 23 构建的应用程序也无法在 Android 15 上安装。当然这也不是绝对的，如果开发者确实有需要的话，仍然可以通过 ADB Bridge 命令行安装，但普通用户无法通过 APK 和用户界面直接安装。通过 APK 文件直接安装时 Google Play Protect 会弹出阻止框，即便用户点击仍然安装也无济于事，若需要通过命令行安装，请追加忽略最低 SDK 版本参数。具体使用方法是这样的：adb install bypass-low-target-sdk-block FILENAME.apk ... PC版： 手机版：

Google Play Protect为Android用户推出金融欺诈保护功能

Google Play Protect为Android用户推出金融欺诈保护功能 为了解决这个问题，Google正在与新加坡网络安全局（CSA）合作，推出一个欺诈保护试点项目。最初，第一个试点项目只针对新加坡的Android用户。试点项目将在用户下载应用程序时实时检测应用程序请求的任何运行时权限。它将查找 RECEIVE_SMS、READ_SMS、BIND_Notifications 和 Accessibility 等请求。每当有人在互联网上侧载应用程序时，骗子们就会使用这些常见的手段进行金融欺诈。博文指出："当用户尝试从互联网侧载入源（网页浏览器、消息应用程序或文件管理器）安装应用程序时，该增强型欺诈保护功能将分析并自动阻止可能使用敏感运行时权限的应用程序的安装，而这些敏感运行时权限经常被滥用于金融欺诈。该增强功能将实时检查应用程序声明的权限，并特别查找四种运行时权限请求：RECEIVE_SMS、READ_SMS、BIND_Notifications 和 Accessibility。欺诈者经常滥用这些权限，通过短信或通知拦截一次性密码，并监视屏幕内容。根据我们对利用这些敏感运行时权限的主要欺诈恶意软件系列的分析，我们发现 95% 以上的安装都来自互联网侧载源。简而言之，该试点项目旨在只要检测到这些权限请求，就会阻止任何应用程序的安装。Google Play Protect 还会向用户发出通知，告知他们该应用的相关信息。Google澄清说，新加坡政府已经测试了这一防欺诈试点项目。该功能将在支持 Google Play 的Android设备上推出。该公司还强调了一些针对应用程序开发人员的协议。它建议开发者确保其应用程序请求的权限符合"移动不良软件"原则。应用程序应该只要求其顺利运行所需的基本权限。不过，如果开发者确实遇到了问题，他们可以参考Google更新的Play Protect 警告指南。如果问题仍未解决，他们还可以发起投诉。2023 年 10 月，Google推出了一项功能，提示用户扫描未知应用程序以避免受骗。该功能从代码层面扫描应用程序，如果发现新出现的威胁，就会通知用户采取适当行动，不要安装该应用程序。在最新更新中，增强的欺诈保护功能会在扫描恶意应用程序后自动阻止它们。 ... PC版： 手机版：

数百万人受到 Google Play 上假冒 Telegram 应用中隐藏的间谍软件感染

数百万人受到 Google Play 上假冒 Telegram 应用中隐藏的间谍软件感染 卡巴斯基在 Google Play 商店中发现了伪装成 Telegram 修改版的间谍软件，这些软件旨在从受感染的 Android 设备中获取敏感信息。这些应用程序具有恶意功能，可以捕获姓名、用户 ID、联系人、电话号码和聊天消息并将其泄露到攻击者控制的服务器上。 这些应用程序在被谷歌下架之前已经被下载了数百万次。这些非官方 Telegram 应用属于主要针对特定区域（中国）用户的间谍软件。他们的代码与原始 Telegram 代码仅略有不同，以实现顺利通过 Google Play 的安全检查。 卡巴斯基警告称，官方应用商店也不能保证应用的安全性，所以请谨慎使用第三方修改版，即使它们是通过 Google Play 分发的。卡巴斯基已向谷歌报告了这一威胁。截至 9 月 11 日，谷歌已从 Google Play 商店中删除了卡巴斯基所通报的所有间谍应用。 详情请看：

Google即将允许用户同时下载多个Android应用程序

Google即将允许用户同时下载多个Android应用程序 该网站发现，在已root的Android设备上打上Google应用商店v40.0.13版中的一些记号，就能实现Google正在尝试的并行安装功能。不过，此前在 Reddit 上分享的报告和截图显示，这并不是Google第一次考虑将并行下载功能引入 Google Play。默认情况下，该功能只能同时下载两个应用程序，但你可以通过启用标记将下载限制增加到五个，但不能用它同时更新多个应用程序。目前尚不清楚该功能何时（或是否）向公众发布，也不知道Google是否会坚持两个应用程序的下载限制。大约在四五年前，Google曾测试过下载多个Android应用的功能，但当时该公司可能已经放弃了这一功能，从未发布过。相比之下，苹果在这方面已经领先几步，因为你可以在 iPhone 上下载多个应用程序。此外，你还可以在 App Store 中点击"全部更新"按钮，一次更新多个应用程序。另有消息称，一名用户在 X（原 Twitter）上报告说，Google手机应用已开始在显示普通通话记录的同时显示 WhatsApp 通话记录。米沙尔-拉赫曼（Mishaal Rahman）指出，从 Android 9 开始，"第三方通话应用可以选择在系统通话记录中记录通话"。同样，iPhone 上的电话拨号应用程序也已经具备了这一功能。 ... PC版： 手机版：