恶意应用ExpensiveWall在Google Play上的传播与影响

研究人员最近在Google Play官方应用市场上发现了至少50款应用，这些应用在用户不知情或未经许可的情况下，为收费服务进行了扣费。这些应用被下载了多达420万次。尽管在研究人员报告后，Google迅速删除了这些应用，但几天内，同一恶意家族的应用再次出现，并感染了超过5000台设备。

ExpensiveWall恶意软件的工作原理

这些应用都属于一个名为ExpensiveWall的恶意软件家族，由安全公司Check Point发现。它们会偷偷上传用户的电话号码、位置和唯一硬件标识符到攻击者控制的服务器。随后，这些应用利用电话号码为用户注册付费服务，并发送欺诈性的付费短信，导致用户被扣费。Check Point的研究人员尚不清楚这些应用产生了多少收入，但Google Play显示这些应用的下载量在100万到420万之间。

恶意软件的隐藏技术

ExpensiveWall使用了一种常见的混淆技术，称为“打包”（packing）。通过在上传到Google Play之前压缩或加密可执行文件，攻击者可以隐藏其恶意代码，避免被Google的恶意软件扫描器检测到。一旦文件安全地安装在目标设备上，包中的密钥会重新组装可执行文件。尽管这种技术已有十多年的历史，但Google未能检测到这些应用，甚至在第一批应用被删除后仍然如此，显示了这种技术的有效性。

潜在的更大威胁

Check Point的研究人员在一份报告中指出，ExpensiveWall目前的设计仅用于从受害者那里获利，但类似的恶意软件可以轻松修改，以使用相同的基础设施来捕捉图片、录制音频，甚至窃取敏感数据并发送到命令与控制（C&C）服务器。由于恶意软件能够无声地操作，所有这些非法活动都在受害者不知情的情况下进行，使其成为终极间谍工具。

Google Play Protect的局限性

尽管Google已经从Play商店中删除了这些应用，但许多手机仍然会保持感染状态，直到用户明确卸载这些恶意应用。Google曾表示，其安全功能Play Protect（以前称为Verify Apps）会自动从受感染的手机中删除恶意应用。然而，许多手机从未被清理，原因可能是用户关闭了默认功能，或者使用的是不支持该功能的旧版Android系统。

建议与防范措施

研究人员认为，ExpensiveWall是通过一个名为gtk的软件开发工具包（SDK）传播的，开发者将其嵌入到自己的应用中。目前尚不清楚个别开发者是否知道他们的应用执行了恶意行为。Google持续无法阻止恶意应用进入Play商店，这是Android操作系统面临的最大安全责任之一。Android用户应限制设备上安装的应用数量，并在安装应用前仔细阅读用户评论和检查请求的权限。此外，用户应确保Play Protect已开启，方法是通过打开Google Play应用，选择选项，选择Play Protect标签，并确保保护功能已启用。这些措施虽然不能完全确保已安装应用的可信度，但目前这是最好的保障。