带后门的SDK和恶意预装应用是最大的威胁……

2017年谷歌安全团队发现 “Chamois” 恶意软件家族时，他们指出了其非同一般的复杂性。

该恶意软件最初是在一次常规广告流量质量评估中被发现的，该广告欺诈恶意软件通过一系列渠道传播，悄悄成为了安卓历史上最大型最多面的恶意应用。

Chamois的编码十分优美，有4个阶段的投送载荷，使用多种混淆和反分析技术，其配置文件采用定制加密存储，且该恶意软件十分庞大。

正如安卓安全工程师在初次发现Chamois时所描述的：

为分析该恶意软件，我们的安全团队筛查了超过10万行代码。这些代码似乎是专业程序员编写的，十分复杂。

该恶意软件可将无辜用户的流量导引向广告，在后台安装应用，通过发送付费短信的方式进行电信欺诈；还能下载和执行另外的插件。如今，沉寂一年多的恶意软件又死灰复燃了。安卓恶意软件Chamois随SDK和预装应用卷土重来谷歌4月1日发布的《2018安卓安全报告》中称，该恶意软件最初的两个变种被谷歌检测并摧毁后，2017年11月在谷歌Play之外的地方又出现了，而在2018年更是以袭击1.99亿台安卓设备之势卷土重来。《报告》指出，Chamois采用多种分发机制，包括作为预装应用和广告SDK（软件开发包）安装和注入到流行侧加载应用中，是一种工程精巧的复杂恶意软件。

谷歌 Play Protect 将Chamois分类为后门，因为该恶意软件拥有远程命令与控制功能。Chamois的载荷多种多样，从一系列广告欺诈载荷到短信欺诈到动态代码加载都有。

更新过的检测和缓解技术在2018年又一次挫败了该恶意软件的大肆传播，但Chamois几乎肯定会重新出现。(谷歌 Play Protect 每天扫描超20亿台设备的500亿个应用。谷歌也开设了新的 Play Protect 开发者网站。)

安卓恶意软件“Idle Coconut”可致手机加入代理网络

2018年另一款流行恶意软件变种是 “Idle Coconut” ——开发者添加进其应用程序用来赚钱的一个SDK。《报告》指出：应用被复用为某种商业VPN的终端，通过受影响安卓设备路由流量。该SDK使用websocket与命令与控制(CnC)服务器通信，然后通过‘正常’套接字连接CnC控制下的主机。这些行为都是隐秘进行，用户设备不知不觉中就成为了代理网络的一部分。

2018年这两大安卓威胁都源自潜在有害应用(PHA)和带后门SDK的增长；前者通过供应链漏洞利用或原始设备制造商(OEM)推荐 “合法” 应用，以及将合法系统更新与PHA绑定的无线(OTA)更新。

该年度安卓安全报告更加强调的是安全成就，包括：

• 2018年里，只使用谷歌Play下载应用的设备仅0.08%受PHA影响。
• 使用非谷歌Play渠道安装应用的设备受PHA影响的比例高出8倍，但相比前一年，这些设备感染恶意软件的概率还是降低了15%。
• 2018年，谷歌 Play Protect 阻止了16亿PHA安装尝试。

谷歌在报告中称，2018年提升安卓安全的工作还包括：交付增强的应用沙箱、强化开发者API，以及增加基于硬件的安全投入。

Chamois初始报道：

https://android-developers.googleblog.com/2017/03/detecting-and-eliminating-chamois-fraud.html

谷歌《2018安卓安全报告》：

https://source.android.com/security/reports/Google_Android_Security_2018_Report_Final.pdf

谷歌 Play Protect 开发者网站：

https://developers.google.com/android/play-protect/