2022年，卡巴斯基检测到了160多万个针对移动用户的恶意软件，或者是恶意的无需安装的APP。这类APP最常见的分发方式就是通过第三方网站和APP商店，尤其是恶意软件分发者们想方设法将它们上传至各大官方商店，其中的典型代表就是Google Play。

(资料图片)

通常来说，这些官方商店都有严格的上架流程，会在APP上架之前预先进行审核，为了能够登录官方商店，这些恶意软件的发布者会采用各种技巧来绕过平台检查。例如，他们可能会上传一个安全的APP，然后用恶意或可疑代码对其进行更新，从而感染新用户和已经安装该APP的用户。恶意软件一旦被发现就会从 Google Play 中删除，但实际情况是，很多恶意软件在下架之前已经被用户下载了很多次。

为此，很多用户投诉Google Play，尤其是一些不需要安装的小程序，在绕过平台检查方面有着天然的优势，收到众多攻击者的青睐。时至今日，这类无需安装即可感染用户的恶意小程序已经在暗网中形成一条稳定的供需链。

本文将对这一情况进行深入调查分析，向大家展示那些恶意软件买卖生意，其中包括如何买卖 Google Play 帐户、恶意软件、广告服务等。这是一个完整的地下产业，有着自己的规则、价格甚至还有声誉机构，它们已经成为阳光无法照耀的暗位面。

报告主要观点在Google Play上架恶意软件或小程序的价格在2k-20k美元不等，具体看恶意软件的实际情况。地下买卖生意极为低调，为了确保安全性，大部分恶意软件发布者和服务提供者会通过类似于Telegram这样的聊天软件进行谈判和对接需求。目前最流行的恶意软件和小程序主要集中在加密货币跟踪器、金融APP、二维码扫描器、约会APP、成人APP等。地下生意场主要有三种付款方式：最终利润的一定百分比、订阅或租金以及一次性付款。地下犯罪组织会在Google上投放广告，吸引更多人下载恶意软件和小程序，具体广告费用取决于目标国家。其中美国和澳大利亚的广告成本最高——约1美元。暗网会提供哪些恶意服务？

如同我们所处的这个市场一样，暗网市场的服务也分各种类型，以满足不同需求和预算的客户。如下图1所示，这是暗网流出的某报价单，其中描述了针对 Google Play 用户可能需要的不同商品和服务数量。

（图1）

从图中透露的信息可以看出，这个价格并不便宜，但这却是大多数暗网中非常常见的价格，远远称不上提供该清单的用户所说的那样，价格太贵了。

一般而言，攻击者最主要购买的产品是开发者的 Google Play 帐户，网络犯罪分子可以使用窃取的身份对其进行黑客攻击或恶意注册，以及帮助买家将其想要分发的恶意软件或小程序上传到 Google Play。

此外，攻击者使用的VPS（300 美元）或虚拟专用服务器等服务也是最常被购买的产品，用来控制受感染的APP或重定向用户流量。Web注入也是攻击者常购买的产品之一，它可以监视受害者的行动，当用户点击了攻击者精心伪装的网页时，注入器就会用恶意网页替换它，以此实现入侵用户的目的，这类产品的售价大约在25-80美元。

1、Google Play 加载程序

网络安全专家分析大多数产品后发现，Google Play 加载程序是十分受欢迎的产品之一（如下图2所示），其作用是将恶意或不需要的代码注入 Google Play APP。该APP随后会在 Google Play上更新，这样就成功绕过了Google Play的安全审核机制，受害者可能会将恶意更新下载到他们的手机上。

（图2）

根据注入到APP中的确切内容，用户可能会通过更新获得最终有效负载，或者收到提示他们“启用未知APP安装并从外部来源安装”的通知。在后一种情况，直到用户同意安装附加的APP，提示通知才会消失。而一旦安装该APP，就会要求用户授权访问手机关键数据的权限，例如辅助功能服务、摄像头、麦克风等。倘若用户不同意授权，那么很有可能无法使用原来下载的合法安全APP。

为了说服买家购买这类服务，网络犯罪分子有时会提供视频演示，并向潜在客户发送演示版本。在加载程序功能中，他们的作者可能会强调用户友好的 UI 设计、方便的控制面板、受害国家过滤器、对最新 Android 版本的支持等。网络犯罪分子还可为木马化APP补充检测调试器或沙箱环境的功能。如果检测到可疑环境，装载程序可能会停止其操作，或通知网络罪犯它可能已被安全调查人员发现。

加载程序作者通常会指定加载程序使用的合法APP类型。恶意软件和小程序经常被注入到加密货币追踪器、金融APP、二维码扫描器甚至约会APP中（如图3所示）。网络犯罪者还会告知目标APP的合法版本有多少下载量，这意味着通过使用恶软件或小程序可以感染多少潜在受害者。最常见的操作是，卖家会承诺将代码注入到下载量超过5000 次的APP中。

（图3）

2、绑定服务

暗网上另一个受欢迎的产品/服务是绑定服务（如图4所示）。从本质上讲，它们与 Google Play 加载器的做法完全相同——在合法APP中隐藏恶意或不需要的 APK 文件。然而，与调整注入代码以通过 Google Play 安全检查的加载程序不同，绑定服务会将恶意代码插入到不一定适合官方 Android 市场的APP中。使用绑定服务创建的恶意软件和小程序通过网络钓鱼文本、带有破解游戏和软件的可疑网站等渠道进行分发。

（图4）

由于绑定服务的成功安装率低于加载器，因此两者在价格上相差很大：加载器的售价约为 5000 美元，而绑定服务通常价格在50-100 美元之间。卖家广告中列出的绑定服务的优势和特点往往与装载机类似，不过通常缺少与 Google Play 相关的功能。

3、恶意软件混淆

恶意软件混淆的目的是通过使恶意代码复杂化来绕过安全系统。在这种情况下，买方要么为处理单个恶意软件申请付费，要么为订阅付费，其付费周期大多是周或月（如图5所示）。更令人感到接地气的是，通常服务提供商也常常推出打折套餐，就如同社区旁边的超市一样。例如服务提供商可以以440美元的价格提供50个文件的混淆，而单个文件混淆处理却要30美元。

（图5）

4、安装

为了增加恶意APP的下载量，许多攻击者通过谷歌广告增加APP流量来提供购买安装服务。与其他的暗网服务不同，这项服务是完全合法的，用于吸引尽可能多的APP下载，无论它是仍然合法的APP还是恶意的APP，安装费用都取决于目标国家。平均价格为 0.5 美元，报价从 0.1 美元到 1 美元不等。在下面的屏幕截图中，来自美国和澳大利亚的用户的广告成本最高——0.8 美元（如图6所示）。

（图6）

5、其他服务

暗网卖家还为买家提供发布恶意软件或小程序。在这种情况下，买家不会直接与 Google Play 交互，但可以远程接收APP活动的成果，例如，该恶意软件或小程序所窃取的所有受害者数据。

平均价格和通用销售规则

卡巴斯基专家分析了提供 Google Play 相关服务的暗网价格，发现这些网络犯罪者接受不同的支付方式。这些服务可以按最终利润的一部分提供、出租或以一次性价格出售。一些卖家甚至还举行拍卖会：由于所售商品的数量有限，不太可能被发现，因此买家可能更愿意竞相竞价（如图7所示）。例如，在安全专家发现的一次拍卖中，该Google Play 加载器被称为“闪电战，起拍价1500 美元，每次出价增量约200 美元，最终成交价格达到了7000美元。

（图7）

“闪电战”Google Play 加载器的价格还不是最高的，安全专家还在暗网论坛上观察到的加载器价格最高甚至已经达到了20000 美元。Google Play 加载器具体取决于恶意软件的复杂性、新颖性和流行性，以及附加功能，平均价格为 6975 美元（如图8所示）。

（图8）

但是，如果网络犯罪分子想要购买加载器源代码，价格会立即飙升，达到价格区间的上限（如图9所示）。

（图9）

与加载器不同，Google Play 开发者帐户的购买价格相对就非常便宜，通常价格在200美元作用，有时候甚至只需要几十美元，其价格取决于帐户功能，例如已发布的APP数量、下载数量等（如图10所示）。

（图10）

除了许多待售信息外，安全专家们还在暗网上发现了许多关于想要以特定价格购买特定产品或服务的消息。类似于发布需求，来寻找能够提供对应服务的卖家（如图11所示）。

（图11）

如何完成交易？

暗网上的卖家提供不同工具和产品的整套服务。为了让他们的活动保持低调，很大一部分攻击者通过暗网论坛上的私人消息或社交网络（例如 Telegram）进行私密的协商和交流。

但是，这就会出现一种令人无奈的情况，服务提供商似乎很容易欺骗买家，并从他们的APP中获利。对此，买家几乎没有好的办法来维护自己的利益。当然，也有暗网卖家会履行协议条款，维持声誉，在买家付款后提供相应的产品或服务。

而为了降低交易时的风险，网络犯罪分子通常求助于中介机构的服务——托管服务或中间人。托管可能是一项特殊服务，由影子平台或对交易结果不感兴趣的第三方支持。但是请注意，在暗网上，没有什么可以可以百分百确保你不会被骗。

结论和建议

安全专家们正在持续监控移动威胁形势，以确保用户安全并了解网络攻击威胁的发展。不久前，卡巴斯基发布了一份关于智能手机用户在 2022 年面临威胁的报告。但是，从暗网上此类威胁的供求量来看，未来，很大概率相关网络安全威胁的数据将会继续增加，并且还将变的更加负责和先进。

在日常工作和生活，建议用户不要启用未知来源的APP安装。如果某些APP不断提示你这样做，那么很可能该APP已经中毒了，请尽快卸载并使用扫毒软件清理设备。

认真检查所使用的APP的权限，并在授予不需要执行其主要功能的APP权限之前仔细考虑，尤其是在涉及高风险权限（例如辅助功能服务）时。简单来说，手电筒APP需要的唯一权限是使用手电筒，而不是读取通讯录和相册信息。

参考来源：https://securelist.com/google-play-threats-on-the-dark-web/109452/