網絡安全公司 Zscaler 最新發現,指 Google Play Store 有 77 個含惡意軟件的應用程式成功避開安全掃描,總下載次數超過 1,900 萬次。有見及此,Google 表示將要求所有 Android 應用程式由經過驗證的開發者註冊,才能在認證 Android 裝置上安裝,以建立關鍵問責制度,令惡意行為者在首個有害應用程式被移除後,難以快速分發另一個。
開發者驗證計劃全面展開
Google 計劃在 2025 年 10 月開始逐步發送邀請,並於 2026 年 3 月向所有開發者開放。新要求預計在 2026 年 9 月生效,首先在巴西、印尼、新加坡和泰國實施。Android 產品、信任和增長副總裁 Suzanne Frey 表示,屆時這些地區認證 Android 裝置上安裝的任何應用程式,必須由經過驗證的開發者註冊。
透過 Google Play Store 分發應用程式的開發者影響不大,他們很可能已通過現有 Play Console 流程滿足驗證要求。Google 正為學生和業餘開發者設立獨立類型的 Android Developer Console 帳戶。Google 指出此舉目的是防止惡意行為者冒充開發者,利用其品牌和聲譽創建令人信服的假應用程式。
開發者驗證要求加強了現有安全措施,包括在新加坡、泰國、巴西和印度等市場封鎖側載潛在危險的應用程式。2023 年 7 月,Google 開始要求所有註冊為組織的新開發者帳戶提供 Dun & Bradstreet 分配的有效 D-U-N-S 編號,然後才能提交應用程式,以建立用戶信任。
Google 形容此「新安全層」能保護用戶免受重複惡意行為者傳播惡意軟件和詐騙,同時在整個 Android 提供「一致、常識性的開發者問責基準」。系統在增強所有人安全的同時,亦保留用戶選擇權。
Anatsa 銀行木馬展示進階逃避技術
Zscaler ThreatLabz 團隊發現許多惡意應用程式偽裝成工具或個人化軟件,當中包含新版 Anatsa 銀行木馬程式。Anatsa 首次在 2020 年出現,最新版本加入鍵盤記錄器收集密碼、短訊攔截功能和防偵測工具,目標是全球 831 間金融機構,包括加密貨幣交易所和傳統銀行。
新版本展示強大隱藏能力,成功繞過 Google 惡意軟件偵測系統。木馬程式每下載一段程式碼時使用不同 DES 密鑰,令偵測變得更困難,亦會改變名稱令掃描器難以識別。核心負載更新加入 Anatsa 新的鍵盤記錄器變種,並使用知名 Android APK ZIP 混淆器增強逃避能力。
負載隱藏在 JSON 檔案內,執行時動態載入並在載入後立即刪除。APK 使用損壞壓縮檔隱藏 DEX 檔案,執行時才部署。壓縮檔有無效壓縮和加密標誌,令靜態分析工具難以偵測,因為這些工具依賴 Java 程式庫中標準 ZIP 標頭檢查,無法處理有關應用程式。
研究人員發現 Anatsa 使用 4 步驟多階段負載載入機制。投放應用程式先從指令控制伺服器取得配置和必要字串,然後下載並啟動包含投放程式碼的 DEX 檔案,接着下載含有 Anatsa 負載網址的配置檔案,最後 DEX 檔案提取並安裝惡意軟件負載以完成感染。
惡意軟件類型分布顯示威脅多樣化
Zscaler 在 2023 年 6 月至 2024 年 4 月期間分析數據,發現 Google Play Store 最常見威脅包括 5 大類別。Joker 佔 38.2%,是資訊竊取器和短訊抓取器,令受害者訂閱付費服務。廣告軟件佔 35.9%,消耗網絡頻寬和電池,載入侵入性前景廣告或背景隱形廣告,產生欺詐廣告展示。
Facestealer 佔 14.7%,盜取 Facebook 帳戶憑證,在合法社交媒體應用程式上覆蓋釣魚表格。Coper 佔 3.7%,是資訊竊取器和短訊攔截器,能進行鍵盤記錄和覆蓋釣魚頁面。Anatsa 雖然只佔 0.9%,但針對超過 650 間全球金融機構應用程式,威脅程度極高。
ThreatFabric 追蹤 Anatsa 在 Google Play 滲透歷史,發現多次以假冒或木馬化工具和生產力工具入侵。2021 年 11 月攻擊達到 300,000 次下載,2023 年 6 月曝光攻擊有 30,000 次下載,2024 年 2 月披露攻擊達到 150,000 次下載。2024 年 5 月,兩個偽裝成 PDF 閱讀器和 QR 碼閱讀器的應用程式共累積 70,000 次下載。
Google Play Protect 防護能力面臨挑戰
Google Play Protect 是 Android 內建安全系統,設計為多層防禦,自動運作並持續掃描應用程式。系統每天掃描 2,000 億個 Android 應用程式,在安裝前、期間和之後自動分析,偵測有害行為並發送警報,亦會自動刪除或封鎖違反安全政策的應用程式。
然而安全專家測試顯示 Play Protect 表現仍需改進。平均防毒應用程式偵測惡意軟件的準確度和速度,均優於 Play Protect 裝置和雲端掃描組合。近年多個惡意軟件家族成功繞過 Play Protect 檢查,包括 Anatsa 多次成功入侵。
Google 堅持在 Zscaler 發布報告前已發現漏洞並防護感染,強調所有被識別的惡意應用程式已從 Google Play 移除,用戶受到 Google Play Protect 自動保護。然而 Zscaler 在 Google Play Store 發現 77 個含惡意軟件應用程式,此事對 Google 安全程序提出嚴重質疑。
Google 最新分析發現,從網絡側載來源 (如瀏覽器和訊息應用程式) 的 Android 惡意軟件比 Google Play 多 50 倍以上。公司去年投資於更強私隱政策、人工智能驅動威脅偵測和其他安全措施,防止 236 萬個違反政策應用程式在 Google Play 發布。
企業流動安全策略需要全面升級
專家建議企業實施零信任架構,專注於以用戶為中心的安全。組織需要確保用戶在存取任何資源前經過身份驗證和授權,無論其裝置或位置。企業應只信任信譽良好發布者,閱讀用戶評論,並只授予與應用程式核心功能直接相關的權限。
Zscaler 數據顯示,教育部門封鎖交易數量增加 136.8%,成為受影響最嚴重行業。服務業增加 40.9%,化學和採礦業增加 24%。過去一年流動惡意軟件最常針對印度 (28%) 和美國,其次是加拿大、南非和荷蘭。
Apple 雖然紀錄較好,但也面對類似問題。Kaspersky 研究人員 4 月在 Apple 商店發現名為 ComeCome 的惡意軟件,設計用於清空受感染用戶的加密錢包。此問題顯示即使最嚴格應用程式商店亦難以完全防範惡意軟件。
Android 應用程式分發規則收緊生態系統安全,與此同時 Google 亦面臨 Play Store 重大改革。公司在 2020 年輸掉 Epic Games 提起的反壟斷訴訟後,可能需要透過 Google Play 分發競爭應用程式商店,並向競爭對手提供完整應用程式目錄存取權限。
雖然有開發者驗證制度配合現有安全措施,減少惡意應用程式分發,企業和用戶仍需提高警覺,採取主動防護措施,確保流動裝置和敏感資訊安全。隨着威脅不斷演變,持續更新安全策略成為企業營運必要條件。
