2022 年，卡巴斯基安全解决方案检测到近 170 万个针对移动用户的恶意软件或不需要的软件装入程序。尽管传播此类装入程序的最常见方式是通过第三方网站和不正规的应用商店，但它们的开发者也会想方设法将它们上传到 Google Play 等官方商店，以提高传播范围。

这些应用程序通常受到严格监管，并且在发布之前有专门人员对其进行预审核。可防不胜防，恶意和不需要的软件开发者使用了各种技巧来绕过平台检查。例如，他们可能会上传一个良性的应用程序，然后用恶意或可疑的代码更新它，感染新用户和已经安装该应用的用户。恶意应用程序一被发现就会从 Google Play 中删除，但有时是在下载多次之后才能被发现。

本文的研究起始于用户投诉，有用户投诉在 Google Play 上发现了许多恶意和不需要的应用程序，为此卡巴斯基实验室的研究人员决定分析一下暗网上此类恶意软件的供求情况。分析这种威胁是如何产生的尤为重要，因为许多攻击者经常会集团化运作，买卖 Google Play 账户、恶意软件、服务等。这是一个完整的地下世界，有自己的规则、市场价格和声誉机构，我们会在本报告中对此进行概述。

分析方法

使用卡巴斯基数字足迹分析功能，研究人员收集到了 Google Play 此类情况的数据。卡巴斯基数字足迹会对文本存储网站和受限制的地下在线论坛进行监控，以发现泄露的账户和信息泄露。本报告中提供的报价发布于 2019 年至 2023 年，来自九个最受欢迎的论坛，用于购买和销售与恶意软件和不需要的软件相关的商品和服务。

主要发现

能够将恶意或不需要的应用程序发送到 Google Play 的装入程序的价格在 2000 美元到 20000 美元之间。

为了使攻击不被发现，很大一部分攻击者严格通过论坛和 Telegram 进行谈判。

最流行的隐藏恶意软件和不需要的软件的应用程序类别包括加密货币跟踪器、金融应用程序、二维码扫描仪，甚至约会应用程序。攻击者接受三种主要的支付方式：一部分利润、订阅费或租金以及一次性支付。

攻击者推出谷歌吸引更多人下载恶意和不需要的应用程序。的费用取决于目标国家。美国和澳大利亚用户的费用最高，高达 1 美元左右。

暗网上提供的恶意服务类型

与合法的在线市场一样，暗网上也有各种优惠，供有不同需求和预算的客户使用。在下面的屏幕截图中，你可以看到一个优惠列表，其中介绍了针对 Google Play 用户可能需要的不同商品和服务的数量。这份清单的开发者认为价格太高，然而，它们与我们在其他暗网优惠中看到的价格并不矛盾。

攻击者购买的主要产品是开发人员的 Google Play 帐户，这些帐户可以被攻击者使用窃取的身份攻击或注册，以及帮助买家将其创作上传到 Google Play 的各种工具的源代码。此外，攻击者还提供 VPS（售价 300 美元）或虚拟专用服务器等服务，攻击者使用这些服务来控制受感染的手机或重定向用户流量，以及基于网络的注入。网络注入是一种监控受害者活动的恶意功能，如果他们打开了攻击者感兴趣的网页，注入器就会将其替换为恶意网页。这种功能的售价为每个 25-80 美元。

Google Play 装入程序

在分析的大多数优惠中，攻击者出售 Google Play 装入程序，其目的是将恶意或不需要的代码注入 Google Play 应用程序。然后，该应用程序会在 Google Play 上更新，受害者可能会将恶意更新下载到他们的手机上。根据注入到应用中的具体内容，用户可能会获得更新的最终有效载荷，或者收到通知，提示他们启用未知应用的安装，并从外部来源安装。

在后一种情况下，除非用户同意安装额外的应用程序，否则通知不会消失。安装应用程序后，攻击者需要获得访问手机关键数据的权限，如辅助服务、摄像头、麦克风等。受害者可能无法使用原始的合法应用程序，直到他们给予执行恶意活动所需的权限。一旦所有请求的权限都被授予，用户最终能够使用应用程序的合法功能，但与此同时，他们的设备也会受到感染。

为了说服买家购买其开发的装载程序，攻击者有时会提供视频演示，并向潜在客户发送演示版本。在装入程序功能中，他们的开发者可能会强调用户友好的 UI 设计、方便的控制面板、目标国家过滤器、对最新 Android 版本的支持等等。攻击者还可能为木马应用程序添加检测调试器或沙箱环境的功能。如果检测到可疑环境，装入程序可能会停止操作，或通知攻击者它可能已被安全调查人员发现。

装入程序的开发者通常会指定装入程序使用的合法应用程序的类型。恶意软件和不需要的软件经常被注入加密货币跟踪器、金融应用程序、二维码扫描仪甚至约会应用程序。攻击者还强调了目标应用程序的合法版本有多少下载量，这意味着有很多潜在受害者会通过使用恶意或不需要的代码更新应用程序而被感染。最常见的情况是，开发者承诺在下载量达到或超过 5000 次的应用程序中注入代码。

绑定服务

暗网上另一个常见的服务是绑定服务。本质上，这些装入程序与 Google Play 装入程序做的事情完全相同，即在合法应用程序中隐藏恶意或不需要的 APK 文件。然而，与装入程序不同的是，装入程序会调整注入的代码以通过 Google Play 上的安全检查，绑定服务会将恶意代码插入到不一定适合官方 Android 市场的应用程序中。通常情况下，使用绑定服务创建的恶意和不需要的应用程序通过钓鱼短信、带有破解游戏和软件的可疑网站等方式传播。

由于绑定服务的成功安装率低于装入程序，因此两者在价格上有很大差异：装入程序的成本约为 5000 美元而绑定服务的成本通常约为 50 – 100 美元或每个文件 65 美元。

开发者中列出的绑定服务的优势和功能通常与装入程序的优势和特点相似。不过，Binder（Binder 是一种进程间通信机制 , 基于开源的 OpenBinder 实现）通常缺乏与 Google Play 相关的功能。

恶意软件模糊处理

恶意软件模糊处理的目的是通过使恶意代码复杂化来绕过安全系统。在这种情况下，买家要么为处理单个应用程序付费，要么为订阅付费，例如，每月付费一次。服务提供商甚至可以为购买套餐提供折扣。例如，其中一个开发者以 440 美元的价格提供 50 个文件的模糊处理，而同一提供商仅处理一个文件的成本约为 30 美元。

安装

为了增加恶意应用程序的下载量，许多开发者甚至通过谷歌来增加销路。与其他暗网服务不同，这项服务是完全合法的，用于吸引尽可能多的应用程序下载，无论它是仍然合法的应用程序还是已被感染的应用程序。安装成本取决于目标国家。均价为 0.5 美元，报价从 0.1 美元到 1 美元不等。在下面的截图中，面向美国和澳大利亚用户的成本最高，为 0.8 美元。

其他服务

暗网开发者也会为买家发布恶意或不需要的应用程序。在这种情况下，买家不会直接与 Google Play 互动，但可以远程接收应用程序活动的成果，例如，所有被其窃取的受害者数据。

平均价格和常见销售规则

卡巴斯基的专家分析了提供 Google Play 相关服务的暗网的价格，发现买家可以接受不同的支付方式。这些服务可以以最终利润的份额提供，也可以以一次性价格出租或出售。一些开发者也会拍卖他们的商品：由于出售的商品数量有限，它们不太可能被发现，所以买家可能愿意为它们竞价。例如，在研究人员发现的一次拍卖中，Google Play 装入程序的起拍价是 1500 美元，最终 7000 美元成交。

在暗网论坛上观察到的装入程序的价格在 2000 美元到 20000 美元之间，这取决于恶意软件的复杂性、新颖性和流行性，以及附加功能。装入程序的平均价格是 6975 美元。

然而，如果攻击者想购买装入程序源代码，价格会立即飙升，超过价格范围的上限。

与装入程序不同，Google Play 开发者帐户（无论是被黑客入侵的还是由攻击者新创建的）都可以很便宜地购买，例如，只需 200 美元，有时甚至只需 60 美元。价格取决于帐户功能，如已发布的应用程序数量、下载数量等。

除了许多优惠外，研究人员还在暗网上发现了许多想要以特定价格购买特定产品或服务的信息。

交易过程

暗网上的服务提供商提供了一整套不同的工具和服务。为了保持他们的活动不被发现，很大一部分攻击者会通过暗网论坛上的私人消息或社交网络和 Telegram 进行沟通。

在暗网开发者中，为了降低交易风险，攻击者经常求助于无私的中介机构——托管服务或中间商。托管可能是一种特殊服务，由影子平台或对交易结果不感兴趣的第三方支持。然而，请注意，在暗网上，没有什么能 100% 消除被骗的风险。

总结

从暗网上此类威胁的供应量和需求量来看，可以断定此类威胁只会增长，并变得更加复杂和先进。

防护措施：

不要启用未知应用程序的安装。如果某个应用程序催促你下载安装，那么要小心了。如果可能，请卸载该应用程序，并使用防病毒软件扫描设备。

检查你使用的应用程序的权限，并在授予不需要的权限之前仔细考虑，尤其是在涉及辅助功能服务等高风险权限时。比如，手电筒应用程序唯一需要的权限就是使用手电筒。

使用可靠的安全解决方案，可以帮助你在恶意应用程序和软件在设备上出现不当行为之前发现它们。

随时更新你的操作系统和重要应用程序。要确保应用程序更新是良性的，请在安全解决方案中启用自动系统扫描，或者在安装更新后立即扫描设备。

对于组织来说，有必要使用强密码和双因素验证保护其开发人员帐户，并监控暗网，以尽早检测和缓解凭据泄漏风险。