无码精品视频一区二区免费 ,国产在线4k精品一区

當(dāng)前位置： 首頁 >綜合 > 正文

快資訊丨暗網(wǎng)深度調(diào)查：Google Play惡意軟件的供求生意

2023-05-04 18:23:32 來源：https://securelist.com/google-play-threats-on-the-dark-web/109452/ 責(zé)任編輯：趙寧寧

2022年，卡巴斯基檢測到了160多萬個針對移動用戶的惡意軟件，或者是惡意的無需安裝的APP。這類APP最常見的分發(fā)方式就是通過第三方網(wǎng)站和APP商店，尤其是惡意軟件分發(fā)者們想方設(shè)法將它們上傳至各大官方商店，其中的典型代表就是Google Play。

(相關(guān)資料圖)

通常來說，這些官方商店都有嚴(yán)格的上架流程，會在APP上架之前預(yù)先進行審核，為了能夠登錄官方商店，這些惡意軟件的發(fā)布者會采用各種技巧來繞過平臺檢查。例如，他們可能會上傳一個安全的APP，然后用惡意或可疑代碼對其進行更新，從而感染新用戶和已經(jīng)安裝該APP的用戶。惡意軟件一旦被發(fā)現(xiàn)就會從 Google Play 中刪除，但實際情況是，很多惡意軟件在下架之前已經(jīng)被用戶下載了很多次。

為此，很多用戶投訴Google Play，尤其是一些不需要安裝的小程序，在繞過平臺檢查方面有著天然的優(yōu)勢，收到眾多攻擊者的青睞。時至今日，這類無需安裝即可感染用戶的惡意小程序已經(jīng)在暗網(wǎng)中形成一條穩(wěn)定的供需鏈。

本文將對這一情況進行深入調(diào)查分析，向大家展示那些惡意軟件買賣生意，其中包括如何買賣 Google Play 帳戶、惡意軟件、廣告服務(wù)等。這是一個完整的地下產(chǎn)業(yè)，有著自己的規(guī)則、價格甚至還有聲譽機構(gòu)，它們已經(jīng)成為陽光無法照耀的暗位面。

報告主要觀點在Google Play上架惡意軟件或小程序的價格在2k-20k美元不等，具體看惡意軟件的實際情況。地下買賣生意極為低調(diào)，為了確保安全性，大部分惡意軟件發(fā)布者和服務(wù)提供者會通過類似于Telegram這樣的聊天軟件進行談判和對接需求。目前最流行的惡意軟件和小程序主要集中在加密貨幣跟蹤器、金融APP、二維碼掃描器、約會APP、成人APP等。地下生意場主要有三種付款方式：最終利潤的一定百分比、訂閱或租金以及一次性付款。地下犯罪組織會在Google上投放廣告，吸引更多人下載惡意軟件和小程序，具體廣告費用取決于目標(biāo)國家。其中美國和澳大利亞的廣告成本最高——約1美元。暗網(wǎng)會提供哪些惡意服務(wù)？

如同我們所處的這個市場一樣，暗網(wǎng)市場的服務(wù)也分各種類型，以滿足不同需求和預(yù)算的客戶。如下圖1所示，這是暗網(wǎng)流出的某報價單，其中描述了針對 Google Play 用戶可能需要的不同商品和服務(wù)數(shù)量。

（圖1）

從圖中透露的信息可以看出，這個價格并不便宜，但這卻是大多數(shù)暗網(wǎng)中非常常見的價格，遠遠稱不上提供該清單的用戶所說的那樣，價格太貴了。

一般而言，攻擊者最主要購買的產(chǎn)品是開發(fā)者的 Google Play 帳戶，網(wǎng)絡(luò)犯罪分子可以使用竊取的身份對其進行黑客攻擊或惡意注冊，以及幫助買家將其想要分發(fā)的惡意軟件或小程序上傳到 Google Play。

此外，攻擊者使用的VPS（300 美元）或虛擬專用服務(wù)器等服務(wù)也是最常被購買的產(chǎn)品，用來控制受感染的APP或重定向用戶流量。Web注入也是攻擊者常購買的產(chǎn)品之一，它可以監(jiān)視受害者的行動，當(dāng)用戶點擊了攻擊者精心偽裝的網(wǎng)頁時，注入器就會用惡意網(wǎng)頁替換它，以此實現(xiàn)入侵用戶的目的，這類產(chǎn)品的售價大約在25-80美元。

1、Google Play 加載程序

網(wǎng)絡(luò)安全專家分析大多數(shù)產(chǎn)品后發(fā)現(xiàn)，Google Play 加載程序是十分受歡迎的產(chǎn)品之一（如下圖2所示），其作用是將惡意或不需要的代碼注入 Google Play APP。該APP隨后會在 Google Play上更新，這樣就成功繞過了Google Play的安全審核機制，受害者可能會將惡意更新下載到他們的手機上。

（圖2）

根據(jù)注入到APP中的確切內(nèi)容，用戶可能會通過更新獲得最終有效負載，或者收到提示他們“啟用未知APP安裝并從外部來源安裝”的通知。在后一種情況，直到用戶同意安裝附加的APP，提示通知才會消失。而一旦安裝該APP，就會要求用戶授權(quán)訪問手機關(guān)鍵數(shù)據(jù)的權(quán)限，例如輔助功能服務(wù)、攝像頭、麥克風(fēng)等。倘若用戶不同意授權(quán)，那么很有可能無法使用原來下載的合法安全APP。

為了說服買家購買這類服務(wù)，網(wǎng)絡(luò)犯罪分子有時會提供視頻演示，并向潛在客戶發(fā)送演示版本。在加載程序功能中，他們的作者可能會強調(diào)用戶友好的 UI 設(shè)計、方便的控制面板、受害國家過濾器、對最新 Android 版本的支持等。網(wǎng)絡(luò)犯罪分子還可為木馬化APP補充檢測調(diào)試器或沙箱環(huán)境的功能。如果檢測到可疑環(huán)境，裝載程序可能會停止其操作，或通知網(wǎng)絡(luò)罪犯它可能已被安全調(diào)查人員發(fā)現(xiàn)。

加載程序作者通常會指定加載程序使用的合法APP類型。惡意軟件和小程序經(jīng)常被注入到加密貨幣追蹤器、金融APP、二維碼掃描器甚至約會APP中（如圖3所示）。網(wǎng)絡(luò)犯罪者還會告知目標(biāo)APP的合法版本有多少下載量，這意味著通過使用惡軟件或小程序可以感染多少潛在受害者。最常見的操作是，賣家會承諾將代碼注入到下載量超過5000 次的APP中。

（圖3）

2、綁定服務(wù)

暗網(wǎng)上另一個受歡迎的產(chǎn)品/服務(wù)是綁定服務(wù)（如圖4所示）。從本質(zhì)上講，它們與 Google Play 加載器的做法完全相同——在合法APP中隱藏惡意或不需要的 APK 文件。然而，與調(diào)整注入代碼以通過 Google Play 安全檢查的加載程序不同，綁定服務(wù)會將惡意代碼插入到不一定適合官方 Android 市場的APP中。使用綁定服務(wù)創(chuàng)建的惡意軟件和小程序通過網(wǎng)絡(luò)釣魚文本、帶有破解游戲和軟件的可疑網(wǎng)站等渠道進行分發(fā)。

（圖4）

由于綁定服務(wù)的成功安裝率低于加載器，因此兩者在價格上相差很大：加載器的售價約為 5000 美元，而綁定服務(wù)通常價格在50-100 美元之間。賣家廣告中列出的綁定服務(wù)的優(yōu)勢和特點往往與裝載機類似，不過通常缺少與 Google Play 相關(guān)的功能。

3、惡意軟件混淆

惡意軟件混淆的目的是通過使惡意代碼復(fù)雜化來繞過安全系統(tǒng)。在這種情況下，買方要么為處理單個惡意軟件申請付費，要么為訂閱付費，其付費周期大多是周或月（如圖5所示）。更令人感到接地氣的是，通常服務(wù)提供商也常常推出打折套餐，就如同社區(qū)旁邊的超市一樣。例如服務(wù)提供商可以以440美元的價格提供50個文件的混淆，而單個文件混淆處理卻要30美元。

（圖5）

4、安裝

為了增加惡意APP的下載量，許多攻擊者通過谷歌廣告增加APP流量來提供購買安裝服務(wù)。與其他的暗網(wǎng)服務(wù)不同，這項服務(wù)是完全合法的，用于吸引盡可能多的APP下載，無論它是仍然合法的APP還是惡意的APP，安裝費用都取決于目標(biāo)國家。平均價格為 0.5 美元，報價從 0.1 美元到 1 美元不等。在下面的屏幕截圖中，來自美國和澳大利亞的用戶的廣告成本最高——0.8 美元（如圖6所示）。

（圖6）

5、其他服務(wù)

暗網(wǎng)賣家還為買家提供發(fā)布惡意軟件或小程序。在這種情況下，買家不會直接與 Google Play 交互，但可以遠程接收APP活動的成果，例如，該惡意軟件或小程序所竊取的所有受害者數(shù)據(jù)。

平均價格和通用銷售規(guī)則

卡巴斯基專家分析了提供 Google Play 相關(guān)服務(wù)的暗網(wǎng)價格，發(fā)現(xiàn)這些網(wǎng)絡(luò)犯罪者接受不同的支付方式。這些服務(wù)可以按最終利潤的一部分提供、出租或以一次性價格出售。一些賣家甚至還舉行拍賣會：由于所售商品的數(shù)量有限，不太可能被發(fā)現(xiàn)，因此買家可能更愿意競相競價（如圖7所示）。例如，在安全專家發(fā)現(xiàn)的一次拍賣中，該Google Play 加載器被稱為“閃電戰(zhàn)，起拍價1500 美元，每次出價增量約200 美元，最終成交價格達到了7000美元。

（圖7）

“閃電戰(zhàn)”Google Play 加載器的價格還不是最高的，安全專家還在暗網(wǎng)論壇上觀察到的加載器價格最高甚至已經(jīng)達到了20000 美元。Google Play 加載器具體取決于惡意軟件的復(fù)雜性、新穎性和流行性，以及附加功能，平均價格為 6975 美元（如圖8所示）。

（圖8）

但是，如果網(wǎng)絡(luò)犯罪分子想要購買加載器源代碼，價格會立即飆升，達到價格區(qū)間的上限（如圖9所示）。

（圖9）

與加載器不同，Google Play 開發(fā)者帳戶的購買價格相對就非常便宜，通常價格在200美元作用，有時候甚至只需要幾十美元，其價格取決于帳戶功能，例如已發(fā)布的APP數(shù)量、下載數(shù)量等（如圖10所示）。

（圖10）

除了許多待售信息外，安全專家們還在暗網(wǎng)上發(fā)現(xiàn)了許多關(guān)于想要以特定價格購買特定產(chǎn)品或服務(wù)的消息。類似于發(fā)布需求，來尋找能夠提供對應(yīng)服務(wù)的賣家（如圖11所示）。

（圖11）

如何完成交易？

暗網(wǎng)上的賣家提供不同工具和產(chǎn)品的整套服務(wù)。為了讓他們的活動保持低調(diào)，很大一部分攻擊者通過暗網(wǎng)論壇上的私人消息或社交網(wǎng)絡(luò)（例如 Telegram）進行私密的協(xié)商和交流。

但是，這就會出現(xiàn)一種令人無奈的情況，服務(wù)提供商似乎很容易欺騙買家，并從他們的APP中獲利。對此，買家?guī)缀鯖]有好的辦法來維護自己的利益。當(dāng)然，也有暗網(wǎng)賣家會履行協(xié)議條款，維持聲譽，在買家付款后提供相應(yīng)的產(chǎn)品或服務(wù)。

而為了降低交易時的風(fēng)險，網(wǎng)絡(luò)犯罪分子通常求助于中介機構(gòu)的服務(wù)——托管服務(wù)或中間人。托管可能是一項特殊服務(wù)，由影子平臺或?qū)灰捉Y(jié)果不感興趣的第三方支持。但是請注意，在暗網(wǎng)上，沒有什么可以可以百分百確保你不會被騙。

結(jié)論和建議

安全專家們正在持續(xù)監(jiān)控移動威脅形勢，以確保用戶安全并了解網(wǎng)絡(luò)攻擊威脅的發(fā)展。不久前，卡巴斯基發(fā)布了一份關(guān)于智能手機用戶在 2022 年面臨威脅的報告。但是，從暗網(wǎng)上此類威脅的供求量來看，未來，很大概率相關(guān)網(wǎng)絡(luò)安全威脅的數(shù)據(jù)將會繼續(xù)增加，并且還將變的更加負責(zé)和先進。

在日常工作和生活，建議用戶不要啟用未知來源的APP安裝。如果某些APP不斷提示你這樣做，那么很可能該APP已經(jīng)中毒了，請盡快卸載并使用掃毒軟件清理設(shè)備。

認真檢查所使用的APP的權(quán)限，并在授予不需要執(zhí)行其主要功能的APP權(quán)限之前仔細考慮，尤其是在涉及高風(fēng)險權(quán)限（例如輔助功能服務(wù)）時。簡單來說，手電筒APP需要的唯一權(quán)限是使用手電筒，而不是讀取通訊錄和相冊信息。

參考來源：https://securelist.com/google-play-threats-on-the-dark-web/109452/

標(biāo)簽：

上一篇： Gartner發(fā)布2023年網(wǎng)絡(luò)安全重要趨勢

上一篇：每日精選：在 Linux 上建立 SSH 安全連接的13種方法