Google Play的恶意应用再感染170万台Android设备

该公司用于Android应用程序的官方存储库Google Play再次被发现托管欺诈性和潜在恶意应用程序，发现了56种以上的应用程序（其中许多用于儿童）已安装在将近170万台设备上。

Tekya是一类恶意软件，它们对包括Google的AdMob，AppLovin，Facebook和Unity在内的代理商提供的广告和横幅产生欺诈性点击。为了使点击具有真实性，经过充分处理的代码使受感染的设备使用Android的“ MotionEvent”机制来模仿合法的用户操作。安全公司Check Point的研究人员发现它们时，VirusTotal和Google Play Protect并未检测到这些应用程序。包含Tekya的应用中有24个是针对儿童的。Google在Check Point报告它们后删除了所有56个应用程序。

Check Point的研究人员Israel Wernik，Danil Golubenko和Aviran Hazum 在星期二发表的一篇文章中写道，这一发现“再次凸显了Google Play商店仍可以托管恶意应用程序” 。“该商店提供了将近300万个应用程序，每天有数百个新应用程序上载，这使得很难检查每个应用程序是否安全。因此，用户不能仅依靠Google Play的安全措施来确保其设备受到保护。”

走向本土

为了使恶意行为更难被发现，这些应用程序是使用本机Android代码编写的-通常使用C和C ++编程语言编写。Android应用程序通常使用Java来实现逻辑。该语言的界面为开发人员提供了访问多层抽象的便利。相反，本机代码是在较低级别实现的。尽管Java可以很容易地反编译（将二进制文件转换回人类可读的源代码的过程），但是使用本机代码很难做到这一点。

安装后，Tekya应用程序会注册一个广播接收器，该广播接收器执行多种操作，包括：

• BOOT_COMPLETED允许代码在设备启动（“冷”启动）时运行
• USER_PRESENT，以便检测用户何时正在积极使用设备
• QUICKBOOT_POWERON允许设备重启后运行代码

接收方的唯一目的是将本地库'libtekya.so'加载到每个应用程序.apk文件内的librarys文件夹中。Check Point帖子提供了有关代码工作方式的更多技术细节。Google代表确认该应用已从Play中删除。

可是等等 。。。还有更多

另外，反病毒提供商Dr.Web周二报告称，发现了数量不详的Google Play应用，下载次数超过700,000次，其中包含被称为Android.Circle.1的恶意软件。该恶意软件使用了基于BeanShell脚本语言的代码， 并结合了广告软件和点击欺诈功能。该恶意软件经过18处修改，可用于执行网络钓鱼攻击。

Dr.Web帖子并未列出所有包含Android.Circle.1的应用程序的名称。识别出的少数应用程序是：墙纸黑色-深色背景，星座运势2020-十二生肖，甜蜜相遇，卡通相机和泡泡射击。Google删除了Dr.Web报告的所有应用程序。同时，Check Point发现的56个应用程序位于周二的Check Point帖子中，该帖子再次位于此处。

Android设备通常在被发现具有恶意功能后便会卸载它们，但该机制并非始终能够按预期运行。读者可能需要检查其设备，以查看是否已被感染。与往常一样，读者应在安装的应用程序中高度选择。毫无疑问，Google扫描会检测到提交给Play的恶意应用程序的很大一部分，但仍有大量用户继续感染绕过这些检查的恶意软件。