攻击者仍在使用"版本控制"绕过 Google Play 的恶意软件检查
攻击者仍在使用"版本控制"绕过GooglePlay的恶意软件检查Google网络安全行动小组(GCAT)在本月的《威胁地平线》报告中指出,GooglePlay仍然存在已知的恶意软件问题。恶意应用程序开发者一直在使用"版本控制"将恶意软件上传到看似无害的应用程序中。首先,威胁行为者向GooglePlay上传一个无害的应用程序。该软件不含恶意软件,因此在自动审核过程中不会触发标记。然后,攻击者利用动态代码加载(DCL)技术,通过自有或被入侵的服务器发送恶意更新。这样,曾经安全的应用程序就成了设备的后门,允许黑客窃取个人信息,包括用户凭据。报告指出:"使用版本控制的活动通常以用户的凭证、数据和财务为目标。在企业环境中,版本化表明需要采用深度防御原则,包括但不限于将应用程序安装源限制在GooglePlay等可信源,或通过移动设备管理(MDM)平台管理企业设备。"DCL规避基于PlayStore的安全控制,将恶意行为修补到已安装的应用程序中。Google知道这种攻击载体已经有一段时间了,但由于恶意软件完全绕过了GooglePlay的检查,因此很难缓解。你可能还记得大约一年前,当安全研究人员发现开发者使用DCL用银行木马Sharkbot更新程序时,Google商店下架了几款本应安全的杀毒软件。然而,即使Google删除了这些糟糕的应用程序,最终还是会有更多的应用程序涌现出来,而由于通过其他应用程序商店的侧载,许多其他应用程序仍然可用。GCAT的报告提到,由于DCL的存在,Sharkbot仍然是Android应用程序的常见问题。有时,它会发现Sharkbot的版本经过修改,功能有所减少,以降低被自动检查弹出的几率。然而,功能齐全的版本可能会在第三方应用程序商店中横行。最终,Android终端用户或公司的IT管理员必须采取相应的措施。Google建议只从GooglePlay或其他可信来源下载软件。另外,Android企业版或第三方企业移动管理解决方案都有内置工具,允许管理员有选择性地管理公司设备上的应用分发。此外,Google还建议适当利用市场允许列表来帮助限制风险。...PC版:https://www.cnbeta.com.tw/articles/soft/1375855.htm手机版:https://m.cnbeta.com.tw/view/1375855.htm
