歌近日宣布要成立一个攻击性的“网络破坏部门”，引发业界震动。

这意味着，全球互联网巨头正试图从传统的威胁情报收集、防御工具开发，进一步迈向灰色地带：主动干预甚至攻击对手的基础设施。

从情报采集到“下场动手”

谷歌威胁情报部门副总裁Sandra Joyce在网络安全政策与法律中心的一次会议上透露，这个新部门将探索“合法且合乎伦理的破坏手段”，并号召业界伙伴共同参与。

她直言：“如果我们还停留在被动应对的姿态上，我们注定只能追着威胁跑。我们需要找到主动出击、瓦解攻击行动的机会。”

所谓“破坏行动”，处于“防御”和“黑客反击”之间的模糊地带。微软曾通过法院捣毁僵尸网络、美国司法部也曾夺回黑客盗取的加密货币，这些都被视为“破坏性”案例。但进一步的“黑客反击”则触及法律红线。

私企能否拿到“合法开火权”？

在美国国内，关于“黑客反击”的立法争论已久。此前，国会曾推动授权私企“反黑”的法案，但由于风险过大而停滞。

GoUpSec安全专家Tunny指出，特朗普上台后持续推动美国网络安全战略从“防御为主”走向“以攻促防”。近期，又有人重提“网络版私掠许可证”构想：由总统向具备能力的企业发放“作战许可”，类似于18世纪海上私掠船的“合法身份”。

前白宫国家安全委员会官员John Keefe回忆，政府曾讨论过这种“有限私掠”模式，主要针对勒索软件和俄罗斯黑客，“但绝不会是‘网络蛮荒西部’。”

问题在于：谁来划定合法边界？谁来监督行动尺度？ 这仍是悬而未决的难题。

商业逻辑的困境：进攻不赚钱？

进攻型网络安全产业尚未成形。防务科技公司Anduril的安全负责人直言，这几乎是“不可能赚钱的生意”：“你开发出一个漏洞利用，只能合法卖给政府一次，用完即废，下一步又得重新来。”

在政府内部，网络攻击行动已是高人力消耗的“重工业”。前CISA高官、现任SentinelOne高管Brandon Wales指出，私企或许能凭借创新缩短周期、降低成本，但这要求整个行业打造一个前所未有的生态。

投资机构Forgepoint Capital的合伙人则判断：“目前进攻型网络安全产业还不存在，但它迟早会来。”

以攻代守的风险

支持者认为，美国若要真正遏制对手，就必须走向进攻。Dmitri Alperovitch（Silverado智库主席）更是直言：“别再害怕所谓升级报复了。我们的医院、电力、知识产权都早已被对手渗透、勒索，能更糟吗？不出手，才是升级风险。”

但反对者提醒：美国的数字化程度远超其他国家，一旦陷入网络对攻，最容易被打击的恰恰是自己。

因此，谷歌的“参军”更像是一场豪赌：一边呼应白宫“主动出击”的风潮，一边又要在法律与伦理的钢丝上行走。

结语

从反诈电话的自动拦截，到主导僵尸网络的全球执法行动，科技公司与政府的角色界限正在逐渐模糊。谷歌的网络攻击部门如果成形，或许将成为硅谷历史上的第一次公开涉足“攻击性网络行动”。

问题是：这会是网络安全产业的新蓝海，还是一场引火烧身的冒险？

谷歌应用商店爆出大量恶意软件，被下载1900万次

近日，云安全厂商Zscaler ThreatLabz披露：仅过去数月，用户已从谷歌官方应用商店下载超过1900万次恶意应用，其中不少应用成功绕过谷歌的自动化安全审查机制。

被点名的77款恶意应用大多伪装成“工具软件”或“个性化小工具”，下载界面其貌不扬，却在安装后迅速露出獠牙。其中最危险的，当属“老牌木马”Anatsa的升级版本。

银行木马再进化：Anatsa的隐身术

Anatsa木马最早在2020年出现，以针对全球金融机构、窃取银行和加密货币账户为主要目标。此次变种，不仅带来更隐蔽的攻击手法，还更新了功能：

• 键盘记录器（Keylogger）：实时截取用户输入的账号与密码；

• 短信拦截器：突破双因素认证，获取验证码；

• 反检测机制：利用DES加密分块下载、动态删除核心Payload，避免传统扫描工具识别。

更棘手的是，这一版本的Anatsa能通过伪造ZIP头部 混淆手段躲避Java库的静态检测。对安全研究员来说，这意味着常规扫描在“假文件头”的欺骗下几乎完全失效，而对普通用户而言，这些应用依旧可以在安卓设备上顺畅运行，毫无异常。

Zscaler警告：这类攻击波及831家金融机构，涵盖传统银行与加密货币交易所。换句话说，如果用户下载了相关应用，极有可能直接损失真金白银。

恶意应用的“顶流”：Joker依旧未退场

虽然Anatsa是这次事件的“技术明星”，但在感染数量上，Joker木马依旧是Play商店的常驻噩梦。自2020年起，Joker专门通过短信钓鱼、窃取凭证，并常年位列恶意应用榜首。根据Zscaler的监测，四分之一的感染案例都与Joker相关。

这背后揭示了一个现实：即便在谷歌官方商店，恶意代码并未减少，反而不断演化。攻击者依靠“恶意软件即服务”的黑产模式，用低门槛的脚本完成广告欺诈、流量劫持，成本极低却能轻松牟利。

谷歌的回应：早发现了

面对外界质疑，谷歌方面回应称：其内部安全机制在Zscaler报告之前就已发现并屏蔽了部分恶意应用。然而，谷歌并未明确说明这一“提前发现”是否源于Zscaler的“负责任披露”。

这种暧昧回应，恰恰击中了外界对谷歌应用商店审核流程的担忧。毕竟，相比苹果App Store的“强管控”，谷歌Play本就以“更开放、更快审核”著称。但开放的代价，就是恶意应用更容易趁虚而入。

谁来为安卓应用商店的安全兜底？

谷歌Play商店月活跃用户超25亿，覆盖190个市场，是全球最大的移动应用分发渠道。但当1900万次恶意下载的数字曝光，不禁让人追问：

• 平台审核是否需要加强：谷歌的自动化检测是否需要更多人工介入？

• 用户安全意识教育：在处理APP权限申请时，用户如何辨别真伪？

• 第三方安全厂商：是否应承担更重要的角色，与平台形成安全合力？

现实是，安全与开放本就是一对永恒矛盾。对安卓商店的运营者而言，要么继续依赖“先上架后补救”的逻辑，要么投入更大成本把好前置关口。 而对用户来说，下载应用时保持警惕（即便来自所谓的“官方应用商店”），或许才是最后一道防线。

参考链接：

https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa

文章来源 ：GoUpSec