谷歌 Play 一安卓“系统升级”应用暗藏“间谍”,数百万人已中招

发布时间：2020-12-27 00:59:19

作者：宅客频道

本文作者：李勤，宅客频道网络安全作者，入错行的八卦爱好者。

宅客频道消息，据外媒 Security Week 报道，云安全服务商 Zscaler 称，谷歌 Play 商店中一款 System Update（系统升级）的应用欺骗了用户——本来，用户以为这个应用可以提供 Android 软件升级，没想到其中暗藏恶意程序，窃听用户地理位置，实时发会给攻击者，并通过短信从攻击方接收指令。

可怕的是，宅客频道发现，该应用于 2014 年在 Play 商店上架，前不久谷歌才将它下架，期间，下载量已达到100万到500万次。

其实，Google Play 页面在该应用程序启动时，本应向用户发出警告，但是，诡异的是，显示的却是空白的屏幕截图，不明就里的用户看到空白页面居然仍然下载并安装。

当用户尝试运行安装的应用程序时，该应用还会弹出一条消息：“更新服务已停止”。其实，此应用会在后台开启一项 Android 服务和广播 receiver 读取最后位置并扫描接收到的短信。

这个恶意程序正在寻找什么？Zscaler表示，它在寻找具有特定语法的信息，且目标信息超过 23 个字符，并应在 SMS 中包含”vova-“，它还会扫描包含“get faq”的消息。

攻击者还可以在设备电池电量不足时，设置位置警报，并且还可以为该恶意程序设置自己的密码。

让宅客频道编辑疑惑的是，为什么该恶意应用没有被检测出来？

Zscaler 认为，可能是在初始阶段，由于其基于短信接受指令，所以在 VirusTotal 上，没有反病毒引擎在分析时发现这个应用。

VirusTotal 是一个知名免费的在线病毒木马及恶意软件的分析服务，在被 Google 收购之后，它已成为了谷歌 Android 内置扫毒以及 Chrome 浏览器内建安全功能的一部分。

该应用程序最近一次更新是在 2014 年 12 月，并设法长时间避开了检测，但仍然活跃。此外，安全研究人员还发现，该应用程序的代码与几年前发现的 DroidJack 特洛伊木马的代码一样，也在窃取信息，最近这个木马还被用在盗版宠物小精灵GO和超级马里奥这两款游戏上。

Zscaler 指出，Google Play商店中有许多应用是间谍软件，例如，这些间谍软件会通过 SMS 短信监视配偶或者孩子的位置，但是这些应用程序在一开始就明确表示了它目的——它们就是当间谍用的，而不是这个报告里所说的这种应用程序。这种应用程序动机不良，它将自己伪装成系统更新，误导用户认为他们正在下载 Android 的系统更新应用。