谷歌云安全團隊近日表示，惡意行為者在躲過Google Play商店的審查流程和安全控制后，會使用一種被稱為版本控制的常見策略，在Android設備上植入惡意軟件。

該技術通過向已安裝的應用程序提供更新來引入惡意有效負載，或者通過所謂的動態代碼加載(DCL)從威脅參與者控制的服務器加載惡意代碼。

它允許攻擊者繞過應用商店的靜態分析檢查，在Android設備上以原生、Dalvik或JavaScript代碼的形式部署有效負載。

谷歌在今年的威脅趨勢報告中提到：惡意行為者試圖規避 Google Play 安全控制的一種方式是版本控制。

比如，開發者會在Google Play應用商店發布一個看似合法并通過谷歌檢查的應用程序初始版本，但隨后用戶會收到來自第三方服務器的更新提示，這時候終端用戶設備上的代碼會被改變，這樣威脅者就可以實施惡意活動，從而實現版本控制。

谷歌表示，所有提交到 Play Store 的應用程序和補丁都要經過嚴格的 PHA（潛在有害應用程序）篩選，但 "其中一些控制 "被 DCL 繞過。

Play Store通過版本控制繞過安全控制（圖源：Google）

谷歌方面表示：此類活動的應用程序違反了Google Play欺騙行為政策，可能被貼上后門標簽。

根據該公司的 Play Policy Center 指導方針，通過 Google Play 發布的應用程序禁止通過 Google Play 提供的官方更新機制以外的任何方式進行更改、替換或更新。

此外，應用程序嚴禁從外部資源下載可執行代碼（如 dex、JAR 或 .so 文件0）到官方 Android 應用商店。

谷歌還強調了一種名為 SharkBot的惡意軟件變種，該軟件最早由 Cleafy 的威脅情報團隊于 2021 年 10 月首次發現。SharkBot 是一種銀行惡意軟件，在入侵安卓設備后會通過自動轉賬服務（ATS）協議進行未經授權的轉賬。

為了躲避 Play Store 系統的檢測，SharkBot 的威脅制造者采用了一種現在常見的策略，即在 Google Play 上發布功能有限的版本，掩蓋其應用程序的可疑性質。

然而，一旦用戶下載了木馬應用程序，就會下載完整版的惡意軟件。

Sharkbot 偽裝成安卓殺毒軟件和各種系統實用程序，通過 Google Play 商店的惡意行為提交檢查，成功感染了成千上萬的用戶。

網絡安全記者Brian Krebs強調了 ThreatFabric 安全研究人員最近公布的一種不同的移動惡意軟件混淆技術。這種方法能有效破解谷歌的應用程序分析工具，使其無法掃描惡意 APK（安卓應用程序包）。因此，盡管這些有害的 APK 被標記為無效，仍能成功安裝到用戶的設備上。