谷歌昨天表示，它成功删除了过去三年提交给Play商店的1,700多个应用程序，这些应用程序已感染了各种版本的Bread恶意软件，也被称为Joker。

Google将这种恶意软件操作描述为过去几年来处理的最持久的威胁之一。

尽管大多数恶意软件运营商在Google检测到他们的应用后就放弃了，但“面包”组织从未这么做。自2017年以来的三年多时间里，面包运营商每周都在发布其恶意软件的新版本。

持久性和纯粹的音量

多年来，他们的作案手法始终是相同的，重点是在各地进行小小的更改，目的是在Google Play商店的防御和安全检查中发现空白。

在大多数情况下，这没有用，有时却没有用。例如，在2019年9月，安全研究员Aleksejs Kuprins发现24个应用程序感染了偷偷进入Play商店的Bread(Joker)恶意软件。一个月后，Pradeo Labs 找到了另一个受Bread(小丑)感染的应用程序。几天后，趋势科技还发现了29个受面包感染的应用程序。几天后，K7 Security 在Play商店也发现了另外四个应用程序。然后，Dr.Web发现了另外八个应用程序，而Kasperksy发现了另外四个应用程序。这种情况一直持续下去。此Google文档电子表格包含“面包”(小丑)恶意软件在Play商店中入侵的其他实例。

但是，谷歌报告说，在大多数情况下，它能够阻止恶意软件向其用户传播，从而阻止了Bread小组提交的1,700多个恶意应用程序。

在一篇博客文章中详述了其对面包械斗昨晚公布，谷歌表示，该运营商“必须在去未被发现的尝试只是使用了大约阳光下的每一个伪装和模糊技术的一些点。”

谷歌的安全团队说，这种恶意软件并不是有人所说的复杂的，而是比其他人更具持久性的。

谷歌说：“纯粹的数量似乎是面包开发人员的首选方法。”

谷歌补充说：“在不同的时间，我们已经看到了使用不同方法或针对不同运营商的三个或更多有效变体。” “在活动高峰期，一天之内，我们已经看到该家庭中多达23种不同的应用程序提交给Play。”

谷歌还表示，在Play商店中也发现了Bread恶意软件毒株，这表明该恶意软件操作知道一开始的目标和目标，即使最初并未成功，也绝不会偏离目标。

假评论和YOUTUBE广告

但是正如Google承认的，以及其他人指出的那样，Bread团队利用Play商店的防御措施存在一些漏洞。

在大多数情况下，帮助Bread恶意软件工作人员通过Play商店安全性审查的诀窍是一种称为“版本控制”的技术-指上传应用程序的干净版本，然后在以后通过应用程序更新添加恶意功能。

为了确保感染尽可能多的用户，Invictus Europe(及其他机构)表示，面包小组经常使用YouTube视频将用户定向到恶意应用程序，从而增强了应用程序功能，以尝试感染尽可能多的用户。

此外，谷歌表示，它看到“面包帮”经常使用虚假评论来提高其应用程序的声誉，并淹没负面评价。

从短信欺诈到WAP计费

根据Google的说法，这种恶意软件操作的主要重点是财务欺诈。Bread恶意软件的初始版本集中在SMS欺诈上，这是指使用受感染的设备通过将SMS发送给高级号码来为不需要的产品或服务付款的做法。

当Google为想要访问设备的SMS功能的Android应用程序引入了越来越严格的权限时，“面包”团伙只是改变了策略，转而使用WAP欺诈。

WAP欺诈，也称为通行费计费，是指使用受感染设备的黑客通过设备的WAP连接连接到付款页面，并将付款自动计入设备的电话账单。

多年来，SMS和WAP欺诈在恶意软件开发人员中都非常受欢迎。这是因为这两种计费方式都使用设备验证，而不是用户验证。

移动电信公司可以验证请求是否来自受害者的设备，但是他们无法确定请求是由用户执行的，还是由脚本或恶意软件自动执行的。

在2000年代末和2010年代初，WAP恶意软件曾经是移动世界中的一个大问题。2017年，记者撰写了关于Android恶意软件场景中WAP特洛伊木马复活的趋势。当时，在2017年，Ubsod，Xafekopy，Autosus和Podec等WAP木马在经过多年的沉默后突然，意外和无法解释地卷土重来。

正如Google昨天指出的那样，“面包”行动似乎是这场卷土重来的巅峰之作，是所有行动中最活跃，最持久的。

基于他们的坚强毅力，他们似乎已经获得了可观的利润。否则，他们很可能会放弃。

谷歌说：“这个家族展示了恶意软件作者现在必须消耗的资源量。”