暗網上銷售的 Google Play 威脅概述
2022年,卡巴斯基檢測到1661743個針對移動用戶的惡意軟件或流氓軟件安裝程序,雖然這類安裝程序最常見的傳播方式是通過第三方網站和可疑的應用商店,但它們的開發者偶爾也會設法將其上傳到Google Play等官方商店。
這些應用程序通常會受到嚴格監管,并且在發布前會經過預審核。然而,惡意和流氓軟件開發者使用了各種技巧來繞過平臺檢查。例如,他們可能會上傳一個良性的應用程序,然后用惡意或可疑的代碼進行更新,以感染新用戶和已經安裝該應用程序的用戶。這些惡意應用程序一被發現就會從Google Play中刪除,但它們通常都是在下載多次之后才會被發現。
在收到用戶投訴稱“Google Play上出現許多惡意和流氓應用程序”之后,卡巴斯基研究人員決定調查一下這些惡意軟件在暗網上的供求情況。分析這種威脅是如何產生的尤為重要,因為許多網絡犯罪分子經常以團隊合作的方式,買賣Google Play賬戶、惡意軟件、廣告服務等等。這是一個完整的地下產業鏈,有自己的規則、市場價格和聲譽機構,卡巴斯基在一份報告中進行了概述。
重要發現
- 能夠向Google Play交付惡意或流氓應用程序的加載程序價格通常在2000美元到20000美元之間。
- 為了盡可能保持匿名,很大一部分攻擊者嚴格通過論壇和聊天工具(例如Telegram)上的私信進行談判。
- 隱藏惡意和流氓軟件最流行的應用程序類別包括加密貨幣跟蹤器、金融應用程序、二維碼掃描儀,甚至約會應用程序。
- 網絡犯罪分子主要接受三種付款方式:一定比例的最終利潤、訂閱費或租金以及一次性支付。
- 網絡犯罪分子推出谷歌廣告,以吸引更多人下載惡意和流氓應用程序。廣告的成本取決于目標國家,其中,針對美國和澳大利亞用戶的廣告費用最高。
暗網上提供的惡意服務類型
與合法的在線市場一樣,暗網上也為不同需求和預算的客戶提供各種優惠。例如,下面的優惠列表截圖就介紹了針對Google Play用戶可能需要的不同商品和服務的價格。
【一家暗網服務提供商稱這些價格太高,并指出他們以更低的價格出售同樣的服務】
攻擊者購買的主要產品是開發人員的Google Play帳戶,這些帳戶可以被網絡罪犯入侵或注冊,以及幫助買家將其創作上傳到Google Play各種工具的源代碼中。此外,暗網上還提供VPS(售價300美元)或虛擬專用服務器等服務,攻擊者可以使用這些服務來控制受感染的手機或重定向用戶流量,以及基于網絡的注入。網絡注入是一種監控受害者活動的惡意功能,如果受害者打開了攻擊者感興趣的網頁,注入器就會將其替換為惡意網頁。這種功能的售價為25-80美元/個。
Google Play加載程序
攻擊者出售最多的是Google Play加載程序,其目的是將惡意或流氓代碼注入Google Play應用程序。然后,該應用程序會在Google Play上更新,受害者可能會將惡意更新下載到他們的手機上。根據注入到應用中的具體內容,用戶可能會獲得更新的最終有效載荷,或者收到通知,提示他們啟用未知應用的安裝,并從外部來源安裝它。
在后一種情況下,除非用戶同意安裝額外的應用程序,否則通知不會消失。安裝應用程序后,用戶會被要求授權訪問手機的關鍵數據,如輔助服務、攝像頭、麥克風等權限。受害者可能無法使用原始的合法應用程序,直到他們授予執行惡意活動所需的權限。一旦所有請求的權限都被授予,用戶最終能夠使用應用程序的合法功能,但與此同時,他們的設備也會受到感染。
為了說服買家購買其開發的加載程序,網絡犯罪分子有時會提供視頻演示,并向潛在客戶發送演示版本。在加載程序功能中,他們的開發者可能會強調用戶友好的UI設計、簡單易用的控制面板、目標國家過濾器以及對最新Android版本的支持等等。網絡犯罪分子還可能在木馬程序中添加檢測調試器或沙箱環境的功能。如果檢測到可疑環境,加載程序可能會停止操作,或通知開發者“它可能已被安全調查人員發現”。
【Google Play加載程序是暗網上最受歡迎的Google Play威脅產品】
加載程序的開發者通常會指定加載程序所用的合法應用程序的類型。惡意軟件和流氓軟件經常被注入加密貨幣跟蹤器、金融應用程序、二維碼掃描儀甚至約會應用程序。網絡犯罪分子還會強調目標應用程序合法版本的下載量,這意味著有很多潛在受害者會通過使用惡意或流氓代碼更新應用程序而受到感染。最常見的情況是,賣家承諾在下載量達到或超過5000次的應用程序中注入代碼。
【網絡犯罪分子出售將代碼注入加密貨幣跟蹤器的Google Play加載程序】
綁定服務
暗網上另一個常見的服務是綁定服務。從本質上講,這些程序與Google Play加載程序所做的事情完全相同——在合法應用程序中隱藏惡意或流氓APK文件。然而,與加載程序不同的是,綁定服務會將惡意代碼插入到不一定適合官方Android市場的應用程序中。通常情況下,使用綁定服務創建的惡意和流氓應用程序通過釣魚短信、帶有破解游戲和軟件的可疑網站等方式傳播。
由于綁定服務的成功安裝率低于加載程序,因此兩者在價格上有很大差異:加載程序的成本約為5000美元,而綁定服務的成本通常為每個文件50 - 100美元。
【賣家對綁定服務的描述】
賣家廣告中列出的綁定服務的優勢和功能通常與加載程序相似。不過,Binder(一種進程間通信機制)通常缺乏與Google Play相關的功能。
惡意軟件混淆服務
惡意軟件混淆的目的是通過使惡意代碼復雜化來繞過安全系統。在這種情況下,買方要么為處理單個應用程序付費,要么為訂閱付費,例如,每月付費一次。服務提供商甚至可能為購買套餐提供折扣。例如,其中一個供應商提供50個文件的混淆服務,售價為440美元。而同一提供商僅處理一個文件的成本約為30美元。
【Google Play威脅混淆服務售價為50美元一個文件】
安裝
為了增加惡意應用程序的下載量,許多攻擊者通過谷歌廣告來增加銷路。與其他暗網服務不同,這項服務是完全合法的,并被用于吸引盡可能多的應用程序下載——無論它是仍然合法的應用程序還是已被感染的應用程序。安裝成本取決于目標國家。平均價格為0.5美元,具體報價從0.1美元到1美元不等。其中,針對美國和澳大利亞用戶的廣告成本最高,為0.8美元。
【賣方指定了每個國家的安裝價格】
其他服務
暗網賣家還提供為買家發布惡意或流氓應用程序的服務。在這種情況下,買家不會直接與Google Play互動,但可以遠程接收應用程序活動的成果,例如,被其竊取的所有受害者數據。
平均價格和常見銷售規則
卡巴斯基研究人員分析了暗網廣告中提供Google Play相關服務的價格,發現賣家可以接受不同的支付方式。這些服務可以按最終利潤分成提供,也可以以一次性價格出租或出售。一些賣家還會舉辦商品拍賣:由于出售的商品數量有限,買家可能愿意為它們競價。例如,在研究人員發現的一次拍賣中,Google Play加載程序的起拍價是1500美元,以200美元起增,最終以7000美元成交。
【賣家拍賣一個Google Play加載程序】
當然,7000美元的競價并非最高記錄。研究人員在暗網論壇上觀察到的加載程序價格大多在2000美元到20000美元之間,具體取決于惡意軟件的復雜性、新穎性和流行性,以及附加功能。加載程序的平均價格是6975美元。
【Google Play加載程序的平均報價示例】
然而,如果網絡犯罪分子想要購買加載程序源代碼,價格會立即飆升,達到價格范圍的上限。
【開發者以20000美元的價格提供Google Play加載程序源代碼】
與加載程序不同,Google Play開發者帳戶(無論是被黑客入侵的還是由攻擊者新創建的)都更為實惠,通常只需60-200美元,具體價格取決于帳戶功能,如已發布的應用程序數量、下載數量等。
【用戶想購買一個可以訪問開發者電子郵件的Google Play帳戶】
除此之外,研究人員還在暗網上發現了許多想要以特定價格購買特定產品或服務的信息。
【網絡罪犯正在尋找新的Google Play加載程序】
交易過程
暗網上的賣家提供了全套不同的工具和服務。為了保持隱身,很大一部分攻擊者會嚴格通過暗網論壇或社交網絡和通訊工具(如Telegram)上的私信進行談判。
服務提供商似乎可以輕易地欺騙買家,并從他們的應用程序中獲利。通常情況也確實如此。然而,在暗網賣家中,維護自己的聲譽、承諾擔保或在協議條款履行后接受付款也很常見。為了降低交易風險,賣家經常求助于中介機構(如托管服務或中間商)。托管可能是一種特殊服務,由影子平臺或對交易結果不感興趣的第三方支持。然而,請注意,在暗網上,沒有什么能100%消除被騙的風險。
結語和建議
從暗網上此類威脅的供求量來推斷,未來威脅的數量只會增長,而且會變得更加復雜和先進。
防御建議:
- 不要啟用未知應用程序的安裝。如果某個應用程序催促你這樣做,它很可能被感染了。如果可能,請卸載該應用程序,并使用防病毒軟件掃描設備。
- 檢查使用的應用程序權限,并在授予不需要的權限之前仔細考慮,特別是在涉及高風險權限時。例如,手電筒應用唯一需要的權限就是使用手電筒。
- 使用可靠的安全解決方案,有助于在惡意應用程序和廣告軟件在設備上出現不當行為之前發現它們。
- 只要更新可用,務必及時更新操作系統和重要的應用程序。要確保應用程序更新是良性的,請在安全解決方案中啟用自動系統掃描,或在安裝更新后立即掃描設備。
對于組織來說,有必要使用強密碼和雙因素身份驗證來保護其開發人員帳戶,并監控暗網以盡早檢測和緩解憑據泄漏風險。
原文鏈接:https://securelist.com/google-play-threats-on-the-dark-web/109452/
