谁应该归咎于Google Play商店的恶意条形码扫描仪？

在我们的最后一个博客中，谷歌Play上的Barcode Scanner应用通过一次更新感染了1000万用户，我们曾写过谷歌Play商店的条形码扫描器被感染Android / Trojan.HiddenAds.AdQR．所有最初的迹象都让我们相信LavaBird LTD是这个恶意软件的开发者，但从那时起，LavaBird的代表联系了我们。他们声称不是他们上传了恶意版本的扫码机， 包裹名字com.qrcodescanner.barcodescanner,但一个名为“太空团队”的帐户。

前期，我们还必须说，虽然我们在写这个故事时试图达到“太空团队”，但我们没有回复。

在这里，我们将展示LavaBird提供的案件证据。

LavaBird正在辩护

以下是LavaBird于2020年2月10日发出的原始信息。我们提供了轻微的编辑，以隐藏和删除敏感信息:

“美好的一天。

我们已经阅读了这篇文章，并不令你愤怒。我们是卖方和买方之间的中介情况．

该申请被转移到账户“空间团队”

兹附上以下帐目详情：

这是他们的官方电子邮件(在谷歌Play中列出)- digitalapp@yahoo.com

我们已经给他们写了一封信，让他们删除谷歌Play帐户．

同时，我们向谷歌报告了该账户和应用程序．

LAVABIRD LTD开发和销售应用程序，有时我们会购买和销售应用程序。

我们有很多有用的应用程序在我们的帐户，谁总是遵守所有谷歌政策-https://play.google.com/store/apps/developer?id=lavabird_ltd.

我们从帐户发布的更新是由买方制作的，以验证应用程序中的密钥和密码。

买方获取访问本申请的Google Play控制台，并更新了自己。之后，在一周之后，我们将申请转移到买方Google Play账户 - 这是12月7日。

我们附上了一张截图，从我们的开发人员电脑上可以看到应用程序——可能是因为他的设备上仍然有条形码应用程序。该应用程序可能是未发布的，因为，对于没有安装该应用程序的人，你只能看到“我们很抱歉，请求的URL在这个服务器上找不到。”

很遗憾，该应用程序已成为一种病毒，对我们来说，这不仅是对我们的声誉的打击。

我们希望用户将使用手机中的病毒删除应用程序。

我们要求您将开发人员的名称更改为真实的“空间团队”并在需要时附加实际屏幕截图。

问候LAVABIRD有限公司”

所有权的转移

让我们先从Labird将所有权转移到空间的主张团队12月7日^TH., 2020年。为了验证LavaBird的说法，我们搜索了我们自己的缓存谷歌PLAY网页扫码机与的空间团队作为所有者。虽然我们包含了该网站的意大利版本的截图，但这里是空间团队的所有权证据扫码机2020年12月7日转让之日:

• 

• 

尽管这可能是真的，但这又引出了另一个问题。为什么我们在转移日期前的最后一篇博客中发现lavabbird是主人的证据?我们上一篇博客的截图是2020年12月4日:

恶意代码真的是在12月7日添加的吗，还是它之前就存在?我们是否犯了错误，指责了错误的开发人员?需要进一步的调查来核实。因此，我们转向第三方应用商店，从谷歌Play上传到Play的日期获取apk。请记住，这些类型的应用商店不会像谷歌Play那样扫描APKs。我们假设这是因为他们相信谷歌Play会提前完成这项工作。因此，如果恶意软件后来被发现进入了谷歌Play，第三方应用商店不会从他们的网站上删除apk。换句话说，使用第三方应用商店的风险自负。(但为了获取旧版本的应用程序、恶意软件版本和所有版本，第三方应用程序商店是很好的选择。)

下面显示了我们分析多个版本的结果条形码扫描仪,包裹名字com.qrcodescanner.barcodescanner,从第三方应用程序商店。第一个包含恶意软件的版本是扫码机v1.67。时间戳是2020年11月28日，之前转移。抓住另一个缓存Google播放网页，我们证明了那个v1.67的所有权当时属于Lavabird Ltd：

此外，分析扫码机V1.68，在我们上一个博客的截图，我们证明它包含恶意软件。因此，我们的指控是真的．LavaBird确实是感染期间的主人。然后我们继续分析之前的版本扫码机-v1.62-从2020年8月11日开始.LO和Phoold，这个版本很干净。这就是我们如何得出的感染如何开始扫码机v1.67。

从救星澄清

有很多问题没有回答，是时候联系LavaBird了。我想先声明，LavaBird迅速回应了所有的询问，并证明在这个过程中非常有帮助。

转到拉瓦伯德

Lavabird最初说：“在这种情况下，我们是卖家和买家之间的中间人。”不是最初的开发商，LavaBird被转让了所有权扫码机2020年11月23日。

需要注意的是，我们无法找到任何缓存谷歌Play网页来找到之前的所有者，但我们可以根据第三方应用商店的数据验证之前的应用版本确实存在。

转移的键

对于拉瓦伯德来说，最大的问题是:如果《太空团队》在这里扮演了糟糕的角色，为什么第一个版本的扫码机包含恶意软件，V1.67，将其所有权列为LAVABIRD？

LavaBird解释道:

“为了验证应用签名密钥和密码的真实性，我们让他们(太空团队)可以选择更新应用。一旦他们确信密钥的正确性，交易就发生在12月7日，应用程序被转移到他们的账户。”

引用”应用程序签名密钥”需要一些解释。应用签名是设置通过谷歌播放当App Developer首先创建一个应用程序并希望将其上传到数字商店。在此过程中，Google将它们分配了一个键盘。Keypair附带一个公钥和私钥。

从Google播放到移动设备的每个应用程序都与公钥签名。当App Developer将应用程序上传到Google Play的新更新时，它们将其签署分配的私钥。这是由于移动设备仅在其公钥匹配私钥时接受已安装应用的更新。这样做是为了防止他人将应用程序的恶意版本上传到Google播放，使用不同的私钥。出于这个原因，在转移应用程序的所有权时转移应用程序的签名密钥是一个合法的过程部分。因此，“空间团队”的要求验证私钥通过上传更新到Google Play的私钥似乎是合理的。

更新分析

拉瓦伯德接着解释道:

“在转移应用之前，我们还同意以一半的费用使用他们的分析数据更新应用(据他们说，这只是分析数据)。

我们的协议包括他们将通过分析来检查应用运行的条件，正如你所看到的，有2个更新。一个在11月27日，另一个在12月4日。所有的更新都是他们做的。我们正在销售应用程序，所以我们只能手动测试应用程序。”

现在我们知道更新的第二个原因是“太空团队”要修改分析代码。注意，每个Android应用程序在代码中都有一些收集简单数据点的分析类型。没什么不寻常的。看看代码扫码机我自己的版本，当然有修改的分析代码。然而，正是在这同一时期，恶意代码的添加发生了。

请记住，在传输之前允许开发人员修改代码，甚至是分析，这不是常见的做法。当被问及为什么他们没有在允许他们回答的更新之前检查代码：

“通常我们不检查代码，因为应用程序将转到另一个出版商，如果他犯错误，那么对他而不是我们的误。”

LavaBird继续说道:“我们非常抱歉，这没有引起怀疑，再次强调，我们认为这个申请很快就会出现在他们的账户上，这不会影响到我们……我们非常错误。”

我还问，是否有任何关于“太空团队”的研究，以验证对他们的信任。LavaBird回答说:“不幸的是，我们没有这样的做法，但这一教训将伴随我们一生。”LavaBird显然是通过口口相传找到了太空团队作为买家。

此后，在Lavabird Ltd成为所有者的Lavabird Ltd，载有恶意代码的两种更新

• 

• 

直到移交日期12月7日，所有者才显示为“太空团队”。

• 

• 

打破时间表

为简单起见，以下是时间轴的细分:

• 2020年8月11日：扫码机v1.62上传到谷歌Play，是LavaBird LTD之前的所有者提供的干净版本
• 11月23日，2020年11月23日：Lavabird购买了清洁版本扫码机
• 2020年11月25日:LavaBird与“太空团队”达成协议
  • 据LAVABIRD称，“空间团队”声称他们需要“验证应用程序签名密钥和密码的真实性”和“使用其分析更新应用程序”，这导致了Google Play的更新
• 2020年11月27日：扫码机V1.67上传到Google Play与恶意代码添加，救星代码显示为所有者
  • 救源声称这是由“太空团队”在购买前完成的，根据他们的协议
• 2020年12月4日：扫码机v1.68被上传到谷歌Play，仍然包含恶意代码
• 2020年12月7日：LAVABIRD转移所有权扫码机“太空团队”
• 2020年12月7日：扫码机V1.69上传到Google Play与“太空团队”作为主人，仍然包含恶意代码

以下是转移到“空间团队”之后的时间表：

• 2020年12月21日:Malware必威平台APPbytes论坛用户首次报告了一例感染病例扫码机
• 2020年12月24日：必威平台APPAndroid伪添加原来为的检测Android / adware.adqr.fbg.
• December23, 2020:扫码机v1.71使恶意代码抑制出逃避检测
• 12月31日，2020年：扫码机V1.73进一步模糊恶意代码以逃避检测
• 12月31日，2020年：扫码机v1.75进一步使用恶意代码来逃避检测
• 2020年1月5日：扫码机v1.75是在谷歌PLAY上发布的最后一个被恶意软件感染的版本
  • 此后谷歌Play一定将应用从商店中移除
• 2020年2月1日:必威平台APPAndroid伪检测更新以增加的严重程度Android / Trojan.HiddenAds.AdQR检测所有版本
• 2020年2月5日:我们发布谷歌Play上的Barcode Scanner应用通过一次更新感染了1000万用户带有谷歌Play网页的截图，显示LavaBird是受感染病毒的所有者扫码机
• 2020年2月10日：我们收到了来自Lavabird的原始信息

有关空间团队的更多信息

好的，所以谁是“太空队”？他们在Google Play上的唯一证据来自扫码机提到和一个名为的应用程序闹钟-响亮和准确的闹钟， 包裹名字com.alarm.clock.wake.up.．这款应用只在2020年12月在谷歌Play上短暂出现过，而且是一个合法的、干净的应用。因为从2020年12月到2021年1月只有“The space team”存在的证据，我们只能假设开发者账户是在2020年12月创建的。

当询问救星有关“空间团队”的任何其他信息时，他们表示他们“没有任何其他信息”。

“也，”救星添加，“我认为这不是公司，他们可以轻松创建帐户。”

实际上，这证实了他们在转移时创建帐户的假设。出于公平的目的，我们确实试图联系到“太空团队”评论救星救星的指控。他们没有回应。

以下是关于“太空团队”的唯一信息:

出版商：
空间团队

电子邮件：
digitalapp@yahoo.com

地址：
乌克兰，Krivoy Rog，加里宁纳

最终的想法

从我的分析中，似乎发生了什么，是一个聪明的社会工程专长，恶意软件开发人员购买了一个已经流行的应用程序并利用它。这样做，他们能够拍摄1000万安装的应用程序，并将其转换为恶意软件。即使这些分数安装了更新应用程序，也是很多感染。通过能够在完全购买和转移之前修改应用程序的代码，他们能够测试他们的恶意软件是否未被谷歌在另一家公司帐户中播放的错误。

这里有一个重要的教训。对所有的应用程序销售商来说，要厌倦你所销售的产品。如果可能的话，核实他们的可信度。此外，如果他们提出不合理的要求，如修改代码，甚至分析，在转移之前，要持怀疑态度。

最终，我相信Lavabird的索赔。不幸的是，救星在射击博客后进入我们的十字准线恶意扫码机．作为证据表明，我们在这样做。无论如何，现在知道我们道歉的完整故事导致了这一点。我们写这一点希望能够清除Lavabrid的名字。