2022年，卡巴斯基檢測到了160多萬個針對移動用戶的惡意軟件，或者是惡意的無需安裝的APP。這類APP最常見的分發方式就是通過第三方網站和APP商店，尤其是惡意軟件分發者們想方設法將它們上傳至各大官方商店，其中的典型代表就是Google Play。

通常來說，這些官方商店都有嚴格的上架流程，會在APP上架之前預先進行審核，為了能夠登錄官方商店，這些惡意軟件的發布者會采用各種技巧來繞過平臺檢查。例如，他們可能會上傳一個安全的APP，然后用惡意或可疑代碼對其進行更新，從而感染新用戶和已經安裝該APP的用戶。惡意軟件一旦被發現就會從 Google Play 中刪除，但實際情況是，很多惡意軟件在下架之前已經被用戶下載了很多次。

為此，很多用戶投訴Google Play，尤其是一些不需要安裝的小程序，在繞過平臺檢查方面有著天然的優勢，收到眾多攻擊者的青睞。時至今日，這類無需安裝即可感染用戶的惡意小程序已經在暗網中形成一條穩定的供需鏈。

本文將對這一情況進行深入調查分析，向大家展示那些惡意軟件買賣生意，其中包括如何買賣 Google Play 帳戶、惡意軟件、廣告服務等。這是一個完整的地下產業，有著自己的規則、價格甚至還有聲譽機構，它們已經成為陽光無法照耀的暗位面。

報告主要觀點

• 在Google Play上架惡意軟件或小程序的價格在2k-20k美元不等，具體看惡意軟件的實際情況。
• 地下買賣生意極為低調，為了確保安全性，大部分惡意軟件發布者和服務提供者會通過類似于Telegram這樣的聊天軟件進行談判和對接需求。
• 目前最流行的惡意軟件和小程序主要集中在加密貨幣跟蹤器、金融APP、二維碼掃描器、約會APP、成人APP等。
• 地下生意場主要有三種付款方式：最終利潤的一定百分比、訂閱或租金以及一次性付款。
• 地下犯罪組織會在Google上投放廣告，吸引更多人下載惡意軟件和小程序，具體廣告費用取決于目標國家。其中美國和澳大利亞的廣告成本最高——約1美元。

暗網會提供哪些惡意服務？

如同我們所處的這個市場一樣，暗網市場的服務也分各種類型，以滿足不同需求和預算的客戶。如下圖1所示，這是暗網流出的某報價單，其中描述了針對 Google Play 用戶可能需要的不同商品和服務數量。

（圖1）

從圖中透露的信息可以看出，這個價格并不便宜，但這卻是大多數暗網中非常常見的價格，遠遠稱不上提供該清單的用戶所說的那樣，價格太貴了。

一般而言，攻擊者最主要購買的產品是開發者的 Google Play 帳戶，網絡犯罪分子可以使用竊取的身份對其進行黑客攻擊或惡意注冊，以及幫助買家將其想要分發的惡意軟件或小程序上傳到 Google Play。

此外，攻擊者使用的VPS（300 美元）或虛擬專用服務器等服務也是最常被購買的產品，用來控制受感染的APP或重定向用戶流量。Web注入也是攻擊者常購買的產品之一，它可以監視受害者的行動，當用戶點擊了攻擊者精心偽裝的網頁時，注入器就會用惡意網頁替換它，以此實現入侵用戶的目的，這類產品的售價大約在25-80美元。

1、Google Play 加載程序

網絡安全專家分析大多數產品后發現，Google Play 加載程序是十分受歡迎的產品之一（如下圖2所示），其作用是將惡意或不需要的代碼注入 Google Play APP。該APP隨后會在 Google Play上更新，這樣就成功繞過了Google Play的安全審核機制，受害者可能會將惡意更新下載到他們的手機上。

（圖2）

根據注入到APP中的確切內容，用戶可能會通過更新獲得最終有效負載，或者收到提示他們“啟用未知APP安裝并從外部來源安裝”的通知。在后一種情況，直到用戶同意安裝附加的APP，提示通知才會消失。而一旦安裝該APP，就會要求用戶授權訪問手機關鍵數據的權限，例如輔助功能服務、攝像頭、麥克風等。倘若用戶不同意授權，那么很有可能無法使用原來下載的合法安全APP。

為了說服買家購買這類服務，網絡犯罪分子有時會提供視頻演示，并向潛在客戶發送演示版本。在加載程序功能中，他們的作者可能會強調用戶友好的 UI 設計、方便的控制面板、受害國家過濾器、對最新 Android 版本的支持等。網絡犯罪分子還可為木馬化APP補充檢測調試器或沙箱環境的功能。如果檢測到可疑環境，裝載程序可能會停止其操作，或通知網絡罪犯它可能已被安全調查人員發現。

加載程序作者通常會指定加載程序使用的合法APP類型。惡意軟件和小程序經常被注入到加密貨幣追蹤器、金融APP、二維碼掃描器甚至約會APP中（如圖3所示）。網絡犯罪者還會告知目標APP的合法版本有多少下載量，這意味著通過使用惡軟件或小程序可以感染多少潛在受害者。最常見的操作是，賣家會承諾將代碼注入到下載量超過5000 次的APP中。

（圖3）

2、綁定服務

暗網上另一個受歡迎的產品/服務是綁定服務（如圖4所示）。從本質上講，它們與 Google Play 加載器的做法完全相同——在合法APP中隱藏惡意或不需要的 APK 文件。然而，與調整注入代碼以通過 Google Play 安全檢查的加載程序不同，綁定服務會將惡意代碼插入到不一定適合官方 Android 市場的APP中。使用綁定服務創建的惡意軟件和小程序通過網絡釣魚文本、帶有破解游戲和軟件的可疑網站等渠道進行分發。

（圖4）

由于綁定服務的成功安裝率低于加載器，因此兩者在價格上相差很大：加載器的售價約為 5000 美元，而綁定服務通常價格在 50-100 美元之間。賣家廣告中列出的綁定服務的優勢和特點往往與裝載機類似，不過通常缺少與 Google Play 相關的功能。

3、惡意軟件混淆

惡意軟件混淆的目的是通過使惡意代碼復雜化來繞過安全系統。在這種情況下，買方要么為處理單個惡意軟件申請付費，要么為訂閱付費，其付費周期大多是周或月（如圖5所示）。更令人感到接地氣的是，通常服務提供商也常常推出打折套餐，就如同社區旁邊的超市一樣。例如服務提供商可以以440美元的價格提供50個文件的混淆，而單個文件混淆處理卻要30美元。

（圖5）

4、安裝

為了增加惡意APP的下載量，許多攻擊者通過谷歌廣告增加APP流量來提供購買安裝服務。與其他的暗網服務不同，這項服務是完全合法的，用于吸引盡可能多的APP下載，無論它是仍然合法的APP還是惡意的APP，安裝費用都取決于目標國家。平均價格為 0.5 美元，報價從 0.1 美元到 1 美元不等。在下面的屏幕截圖中，來自美國和澳大利亞的用戶的廣告成本最高——0.8 美元（如圖6所示）。

（圖6）

5、其他服務

暗網賣家還為買家提供發布惡意軟件或小程序。在這種情況下，買家不會直接與 Google Play 交互，但可以遠程接收APP活動的成果，例如，該惡意軟件或小程序所竊取的所有受害者數據。

卡巴斯基專家分析了提供 Google Play 相關服務的暗網價格，發現這些網絡犯罪者接受不同的支付方式。這些服務可以按最終利潤的一部分提供、出租或以一次性價格出售。一些賣家甚至還舉行拍賣會：由于所售商品的數量有限，不太可能被發現，因此買家可能更愿意競相競價（如圖7所示）。例如，在安全專家發現的一次拍賣中，該Google Play 加載器被稱為“閃電戰，起拍價1500 美元，每次出價增量約 200 美元，最終成交價格達到了7000美元。

（圖7）

“閃電戰”Google Play 加載器的價格還不是最高的，安全專家還在暗網論壇上觀察到的加載器價格最高甚至已經達到了 20000 美元。Google Play 加載器具體取決于惡意軟件的復雜性、新穎性和流行性，以及附加功能，平均價格為 6975 美元（如圖8所示）。

（圖8）

但是，如果網絡犯罪分子想要購買加載器源代碼，價格會立即飆升，達到價格區間的上限（如圖9所示）。

（圖9）

與加載器不同，Google Play 開發者帳戶的購買價格相對就非常便宜，通常價格在200美元作用，有時候甚至只需要幾十美元，其價格取決于帳戶功能，例如已發布的APP數量、下載數量等（如圖10所示）。

（圖10）

除了許多待售信息外，安全專家們還在暗網上發現了許多關于想要以特定價格購買特定產品或服務的消息。類似于發布需求，來尋找能夠提供對應服務的賣家（如圖11所示）。

（圖11）

如何完成交易？

暗網上的賣家提供不同工具和產品的整套服務。為了讓他們的活動保持低調，很大一部分攻擊者通過暗網論壇上的私人消息或社交網絡（例如 Telegram）進行私密的協商和交流。

但是，這就會出現一種令人無奈的情況，服務提供商似乎很容易欺騙買家，并從他們的APP中獲利。對此，買家幾乎沒有好的辦法來維護自己的利益。當然，也有暗網賣家會履行協議條款，維持聲譽，在買家付款后提供相應的產品或服務。

而為了降低交易時的風險，網絡犯罪分子通常求助于中介機構的服務——托管服務或中間人。托管可能是一項特殊服務，由影子平臺或對交易結果不感興趣的第三方支持。但是請注意，在暗網上，沒有什么可以可以百分百確保你不會被騙。

結論和建議

安全專家們正在持續監控移動威脅形勢，以確保用戶安全并了解網絡攻擊威脅的發展。不久前，卡巴斯基發布了一份關于智能手機用戶在 2022 年面臨威脅的報告。但是，從暗網上此類威脅的供求量來看，未來，很大概率相關網絡安全威脅的數據將會繼續增加，并且還將變的更加負責和先進。

在日常工作和生活，建議用戶不要啟用未知來源的APP安裝。如果某些APP不斷提示你這樣做，那么很可能該APP已經中毒了，請盡快卸載并使用掃毒軟件清理設備。

認真檢查所使用的APP的權限，并在授予不需要執行其主要功能的APP權限之前仔細考慮，尤其是在涉及高風險權限（例如輔助功能服務）時。簡單來說，手電筒APP需要的唯一權限是使用手電筒，而不是讀取通訊錄和相冊信息。

參考來源：https://securelist.com/google-play-threats-on-the-dark-web/109452/