谷歌Play，该公司的官方Android应用程序库，再一次被发现存有欺诈性和潜在恶意的应用程序，发现有超过56个应用程序(其中许多是儿童应用程序)被安装在近170万台设备上。

 

Tekya是一个恶意软件家族，它会在广告和广告条上产生欺骗性点击，这些广告和广告条是由谷歌的AdMob、AppLovin '、沐鸣开户测速Facebook和Unity等机构发布的。为了让点击看起来更真实，这些模糊的代码会让受感染的设备使用Android的“MotionEvent”机制来模仿合法的用户动作。当安全公司Check Point的研究人员发现这些应用程序时，VirusTotal和谷歌Play Protect并没有发现它们。含有Tekya的应用程序中有24个是面向儿童的。在Check Point报告后，谷歌删除了所有56个应用程序。

 

Check Point的研究人员Israel Wernik、Danil Golubenko和Aviran Hazum在周二发表的一篇文章中写道，这一发现“再次强调了谷歌播放商店仍然可以存放恶意应用程序”。“商店里有近300万个应用程序，每天都有数百个新应用程序被上传，这使得检查每个应用程序是否安全变得很困难。”因此，用户不能仅仅依靠谷歌Play的安全措施来确保他们的设备受到保护。”

 

将本机

 

为了让恶意行为更难被发现，这些应用程序是用原生Android代码编写的——通常是用C和c++编程语言编写的。Android应用程序通常使用Java来实现逻辑。该语言的接口为开发人员提供了访问多层抽象的便利。相比之下，本机代码的实现级别要低得多。虽然Java可以很容易地进行反编译(这是一个将二进制文件转换回人类可读源代码的过程)，但是使用本机代码要难得多。

 

安装后，Tekya应用程序会注册一个广播接收器，执行多种操作，包括:

 

BOOT_COMPLETED允许在设备启动时运行代码(“冷”启动)

 

USER_PRESENT，以便检测用户何时正在积极地使用设备

 

QUICKBOOT_POWERON允许在设备重启后运行代码

 

接收方的唯一目的是加载本机库的libtekya。在每个应用程序的。apk文件中的libraries文件夹中。Check Point post提供了更多关于代码如何工作的技术细节。谷歌的代表证实这些应用程序已被从游戏中删除。

 

但等等……有更多的

 

另外，杀毒软件提供商Dr.Web周二报告说，发现了数量不详的谷歌Play应用程序，沐鸣开户测速它们的下载量超过70万次，其中包含被称为android . circle1的恶意软件。该恶意软件使用了基于BeanShell脚本语言的代码，并结合了广告软件和点击欺诈功能。这款恶意软件有18处修改，可以用来实施网络钓鱼攻击。

 

《华盛顿邮报》没有列出所有包含android . circle1的应用程序。这几款应用分别是:墙纸黑-黑背景、星座运行图2020 -生肖运行图、甜蜜约会、卡通相机和泡泡枪。谷歌删除了Dr.Web报告的所有应用程序。与此同时，Check Point发现的56个应用程序在周二的Check Point post中，也在这里。

 

Android设备经常在应用程序被发现有恶意后卸载它们，但这个机制并不总是像预期的那样工作。读者可能想要检查他们的设备，看看他们是否被感染了。和往常一样，读者应该对他们安装的应用程序有高度的选择性。毫无疑问，谷歌扫描可以检测到大量的恶意应用程序，但仍有相当数量的用户继续受到绕过这些检测的恶意软件的感染。