2022年,卡巴斯基检测到1661743个针对移动用户的恶意软件或流氓软件安装程序,虽然这类安装程序最常见的传播方式是通过第三方网站和可疑的应用商店,但它们的开发者偶尔也会设法将其上传到Google Play等官方商店。
这些应用程序通常会受到严格监管,并且在发布前会经过预审核。然而,恶意和流氓软件开发者使用了各种技巧来绕过平台检查。例如,他们可能会上传一个良性的应用程序,然后用恶意或可疑的代码进行更新,以感染新用户和已经安装该应用程序的用户。这些恶意应用程序一被发现就会从Google Play中删除,但它们通常都是在下载多次之后才会被发现。
在收到用户投诉称“Google Play上出现许多恶意和流氓应用程序”之后,卡巴斯基研究人员决定调查一下这些恶意软件在暗网上的供求情况。分析这种威胁是如何产生的尤为重要,因为许多网络犯罪分子经常以团队合作的方式,买卖Google Play账户、恶意软件、广告服务等等。这是一个完整的地下产业链,有自己的规则、市场价格和声誉机构,卡巴斯基在一份报告中进行了概述。
重要发现
- 能够向Google Play交付恶意或流氓应用程序的加载程序价格通常在2000美元到20000美元之间。
- 为了尽可能保持匿名,很大一部分攻击者严格通过论坛和聊天工具(例如Telegram)上的私信进行谈判。
- 隐藏恶意和流氓软件最流行的应用程序类别包括加密货币跟踪器、金融应用程序、二维码扫描仪,甚至约会应用程序。
- 网络犯罪分子主要接受三种付款方式:一定比例的最终利润、订阅费或租金以及一次性支付。
- 网络犯罪分子推出谷歌广告,以吸引更多人下载恶意和流氓应用程序。广告的成本取决于目标国家,其中,针对美国和澳大利亚用户的广告费用最高。
暗网上提供的恶意服务类型
与合法的在线市场一样,暗网上也为不同需求和预算的客户提供各种优惠。例如,下面的优惠列表截图就介绍了针对Google Play用户可能需要的不同商品和服务的价格。
【一家暗网服务提供商称这些价格太高,并指出他们以更低的价格出售同样的服务】
攻击者购买的主要产品是开发人员的Google Play帐户,这些帐户可以被网络罪犯入侵或注册,以及帮助买家将其创作上传到Google Play各种工具的源代码中。此外,暗网上还提供VPS(售价300美元)或虚拟专用服务器等服务,攻击者可以使用这些服务来控制受感染的手机或重定向用户流量,以及基于网络的注入。网络注入是一种监控受害者活动的恶意功能,如果受害者打开了攻击者感兴趣的网页,注入器就会将其替换为恶意网页。这种功能的售价为25-80美元/个。
Google Play加载程序
攻击者出售最多的是Google Play加载程序,其目的是将恶意或流氓代码注入Google Play应用程序。然后,该应用程序会在Google Play上更新,受害者可能会将恶意更新下载到他们的手机上。根据注入到应用中的具体内容,用户可能会获得更新的最终有效载荷,或者收到通知,提示他们启用未知应用的安装,并从外部来源安装它。
在后一种情况下,除非用户同意安装额外的应用程序,否则通知不会消失。安装应用程序后,用户会被要求授权访问手机的关键数据,如辅助服务、摄像头、麦克风等权限。受害者可能无法使用原始的合法应用程序,直到他们授予执行恶意活动所需的权限。一旦所有请求的权限都被授予,用户最终能够使用应用程序的合法功能,但与此同时,他们的设备也会受到感染。
为了说服买家购买其开发的加载程序,网络犯罪分子有时会提供视频演示,并向潜在客户发送演示版本。在加载程序功能中,他们的开发者可能会强调用户友好的UI设计、简单易用的控制面板、目标国家过滤器以及对最新Android版本的支持等等。网络犯罪分子还可能在木马程序中添加检测调试器或沙箱环境的功能。如果检测到可疑环境,加载程序可能会停止操作,或通知开发者“它可能已被安全调查人员发现”。
【Google Play加载程序是暗网上最受欢迎的Google Play威胁产品】
加载程序的开发者通常会指定加载程序所用的合法应用程序的类型。恶意软件和流氓软件经常被注入加密货币跟踪器、金融应用程序、二维码扫描仪甚至约会应用程序。网络犯罪分子还会强调目标应用程序合法版本的下载量,这意味着有很多潜在受害者会通过使用恶意或流氓代码更新应用程序而受到感染。最常见的情况是,卖家承诺在下载量达到或超过5000次的应用程序中注入代码。
【网络犯罪分子出售将代码注入加密货币跟踪器的Google Play加载程序】
绑定服务
暗网上另一个常见的服务是绑定服务。从本质上讲,这些程序与Google Play加载程序所做的事情完全相同——在合法应用程序中隐藏恶意或流氓APK文件。然而,与加载程序不同的是,绑定服务会将恶意代码插入到不一定适合官方Android市场的应用程序中。通常情况下,使用绑定服务创建的恶意和流氓应用程序通过钓鱼短信、带有破解游戏和软件的可疑网站等方式传播。
由于绑定服务的成功安装率低于加载程序,因此两者在价格上有很大差异:加载程序的成本约为5000美元,而绑定服务的成本通常为每个文件50 - 100美元。
【卖家对绑定服务的描述】
卖家广告中列出的绑定服务的优势和功能通常与加载程序相似。不过,Binder(一种进程间通信机制)通常缺乏与Google Play相关的功能。
恶意软件混淆服务
恶意软件混淆的目的是通过使恶意代码复杂化来绕过安全系统。在这种情况下,买方要么为处理单个应用程序付费,要么为订阅付费,例如,每月付费一次。服务提供商甚至可能为购买套餐提供折扣。例如,其中一个供应商提供50个文件的混淆服务,售价为440美元。而同一提供商仅处理一个文件的成本约为30美元。
【Google Play威胁混淆服务售价为50美元一个文件】
安装
为了增加恶意应用程序的下载量,许多攻击者通过谷歌广告来增加销路。与其他暗网服务不同,这项服务是完全合法的,并被用于吸引尽可能多的应用程序下载——无论它是仍然合法的应用程序还是已被感染的应用程序。安装成本取决于目标国家。平均价格为0.5美元,具体报价从0.1美元到1美元不等。其中,针对美国和澳大利亚用户的广告成本最高,为0.8美元。
【卖方指定了每个国家的安装价格】
其他服务
暗网卖家还提供为买家发布恶意或流氓应用程序的服务。在这种情况下,买家不会直接与Google Play互动,但可以远程接收应用程序活动的成果,例如,被其窃取的所有受害者数据。
平均价格和常见销售规则
卡巴斯基研究人员分析了暗网广告中提供Google Play相关服务的价格,发现卖家可以接受不同的支付方式。这些服务可以按最终利润分成提供,也可以以一次性价格出租或出售。一些卖家还会举办商品拍卖:由于出售的商品数量有限,买家可能愿意为它们竞价。例如,在研究人员发现的一次拍卖中,Google Play加载程序的起拍价是1500美元,以200美元起增,最终以7000美元成交。
【卖家拍卖一个Google Play加载程序】
当然,7000美元的竞价并非最高记录。研究人员在暗网论坛上观察到的加载程序价格大多在2000美元到20000美元之间,具体取决于恶意软件的复杂性、新颖性和流行性,以及附加功能。加载程序的平均价格是6975美元。
【Google Play加载程序的平均报价示例】
然而,如果网络犯罪分子想要购买加载程序源代码,价格会立即飙升,达到价格范围的上限。
【开发者以20000美元的价格提供Google Play加载程序源代码】
与加载程序不同,Google Play开发者帐户(无论是被黑客入侵的还是由攻击者新创建的)都更为实惠,通常只需60-200美元,具体价格取决于帐户功能,如已发布的应用程序数量、下载数量等。
【用户想购买一个可以访问开发者电子邮件的Google Play帐户】
除此之外,研究人员还在暗网上发现了许多想要以特定价格购买特定产品或服务的信息。
【网络罪犯正在寻找新的Google Play加载程序】
交易过程
暗网上的卖家提供了全套不同的工具和服务。为了保持隐身,很大一部分攻击者会严格通过暗网论坛或社交网络和通讯工具(如Telegram)上的私信进行谈判。
服务提供商似乎可以轻易地欺骗买家,并从他们的应用程序中获利。通常情况也确实如此。然而,在暗网卖家中,维护自己的声誉、承诺担保或在协议条款履行后接受付款也很常见。为了降低交易风险,卖家经常求助于中介机构(如托管服务或中间商)。托管可能是一种特殊服务,由影子平台或对交易结果不感兴趣的第三方支持。然而,请注意,在暗网上,没有什么能100%消除被骗的风险。
结语和建议
从暗网上此类威胁的供求量来推断,未来威胁的数量只会增长,而且会变得更加复杂和先进。
防御建议:
- 不要启用未知应用程序的安装。如果某个应用程序催促你这样做,它很可能被感染了。如果可能,请卸载该应用程序,并使用防病毒软件扫描设备。
- 检查使用的应用程序权限,并在授予不需要的权限之前仔细考虑,特别是在涉及高风险权限时。例如,手电筒应用唯一需要的权限就是使用手电筒。
- 使用可靠的安全解决方案,有助于在恶意应用程序和广告软件在设备上出现不当行为之前发现它们。
- 只要更新可用,务必及时更新操作系统和重要的应用程序。要确保应用程序更新是良性的,请在安全解决方案中启用自动系统扫描,或在安装更新后立即扫描设备。
对于组织来说,有必要使用强密码和双因素身份验证来保护其开发人员帐户,并监控暗网以尽早检测和缓解凭据泄漏风险。