虚假应用潜入TOP100：论恶意软件如何逃过检测

Google play和ios应用商店对试图诱骗用户下载广告或恶意软件的应用有很严密的检测。最近，我们还发现了隐藏在应用商店合法产品中的恶意应用程序。这些应用诱骗不知情的用户下载赌博应用。

我们在ios应用商店和google play上发现了数百个虚假应用，它们的描述与其内容不一致。虽然这些应用的描述各不相同，但它们有着相同的行为：会转化为赌博应用，这些应用可能因违反当地政府法规和应用商店政策而被禁止。一些应用程序排名前100被多次下载，有些甚至被评为超过10万次。

这些应用程序可以通过赌博网站或应用程序商店下载。例如，访问网站时，将显示以下页面。

网站上的下载按钮会将用户重定向到应用商店，说明了这些赌博应用通过了iOS应用商店的审查。一些应用程序会弹出一个网页，诱使用户安装一个不受应用程序商店监管的应用程序。

对于android用户，下载按钮会将他们重定向到一个页面，该页面可下载android应用程序包（apk）文件，这个apk与通过webview加载的赌博应用程序具有相同的用户界面。

如上图所示，app store上的应用程序描述为葡萄酒。但在打开应用程序时发现了一个不同的内容，与之前提到的网页相似。下载的应用程序与其在应用商店上的描述完全不同。

这些应用程序在google play上的部署方式类似。图6显示了google play列表的屏幕截图，以及用户启动应用程序时的实际界面。

在app store和google play上不禁止赌博或金钱游戏应用程序，但它们受到严格限制。此外，google play只允许在某些国家使用赌博应用程序，只要这些应用程序满足其要求。

这些虚假应用程序以一个普通的应用程序伪装自己，具有不同的特性和功能（例如，用于天气或娱乐功能），但这些假应用程序可以被控制。面的流程图中描述了整个过程。

首先，应用程序有一个“切换”功能，攻击者可以将应用程序设置为显示或隐藏实际的应用程序内容。在这种情况下，api在应用程序的审查过程中被关闭。

请注意，在下图中，kaiguan这个词在中文中的意思是打开/关闭，而1700对于这些应用程序来说似乎是一个不寻常的数字。