被Google Play Protect拦截应用的原因以及可能的规避方向

文摘   2024-05-08 21:28   泰国  

    今天笔者所在的几个互金群都被一个截图炸锅,原因是通过W2A下发的APP在印度市场出现了大范围被Google Play Protect拦截的情况。


类似于图片这种情况

据《出海小黑板公众号》的测试,问题应该是出在读取SMS权限上,注释掉相关权限后并不会出现拦截。

什么是Google Play Protect?

Google 于2017年推出的Android端有害软件查杀功能组件,类似于Windows端的Windows安全中心。主要用于查杀sideload(也就是我们通常说的apk包)的应用,GPP认为Google Play的审核是靠谱的,所以不会怎么去动在架GP包。

为什么之前毫无存在感?

两个原因,1.保护范围。2.保护能力。 笔者之前长期使用具备完备GMS的手机长达10年,但遇到的拦截次数基本是屈指可数,基本都是被Google点名了的知名恶意软件:如国内某top电商平台,北京某top工具厂商的清理。这也是之前GPP的工作方式,主要通过云端的黑名单下发到本地后进行拦截。但也有例外,笔者之前供职的某大DAU社交产品,在大规模OTA下发(连续每天高达数十万)下,因为保活权限(有厂商白名单)的原因,也出现了GPP警告,我们可以认为之前的本地特征阈值是非常高的。

但因为印度在口罩期间出现了大规模的非法信贷业务造成了很大的社会负面影响,在印度政府的压力下,Google于去年10月升级了整个GPP的能力和保护范围,加入了实时扫描,以及在本地设备进行机器学习特征等情况,进一步增强了GPP的能力以及调低了阈值,并从印度开始逐步推广到其他区域。包括今年3月份,新加坡网络安全局也开始参与了该项目的拓展。

为什么是印度?

如上文所述,该项目就是因为印度政府的压力增强的,所以任何新变化的试点工作从印度开始合情合理。

我该怎么办?

我在群里看到有小伙伴提议引导用户关掉GPP,但其实不可行。因为ZJ行业其实从去年11月开始也陆续遇到一样的问题,因为斗篷a/b面的问题也会被GPP拦截,他们尝试了在落地页等加入引导用户关闭GPP的文案后,直接会被Google的广告系统拉黑整个域名。为此GP甚至专门修订了政策:

可能的规避方式:

按之前ZJ行业的经验,他们选择了套签名战术:

1.套在架包的签名和包名。直接使用在架包的签名和包名给apk包。

优点:确实能规避。

缺点:两者实现了强关联,一旦其中一个包因为其他特征出事,另外一个也跑不掉。

2.套android系统组件的签名,直接可以在Android源代码里面找到。

优点:易获取。

缺点:特征很明显,GPP稍微改个规则会死的更快。

而且最怕的一点是,如果是基于“非白名单产品拿SMS”这一特征一刀切的话,以上办法都不会奏效。

未来:按目前Google的做法,印度只是试点,如果一刀切成立的话,在接下来几个月我们可以陆续在所有区域看到该政策落地,在这种情况下,各位互金大佬可能都必须开始尝试无SMS风控模型。








老海盗的小酒馆
这是老海盗的航海日记,伙计,看看老海盗经历了什么或许对你也有点帮助。
 最新文章