谷歌 Play 一安卓“系统升级”应用暗藏“间谍” 数百万人已中招

本篇文章992字，读完约2分钟

雷锋。(公开号码:雷锋。据《外国媒体安全周刊》报道，云安全服务提供商zscaler声称，谷歌游戏商店(Google play Store)中的一个系统更新应用欺骗了用户——最初，用户认为这个应用可以提供安卓软件升级，但他们没有想到会有恶意程序隐藏在其中，窃听用户的地理位置，实时发送给攻击者，并通过短信接收攻击者的指令。

可怕的是，雷锋发现这个应用程序在2014年被放到了游戏商店，而谷歌不久前刚刚把它下架。在此期间，下载量已经达到100万到500万次。

实际上，google play页面应该在应用程序启动时警告用户，但奇怪的是，空的屏幕截图被显示出来，而困惑的用户看到空的白色页面仍在下载和安装。

当用户尝试运行已安装的应用程序时，应用程序还会弹出一条消息:“更新服务已停止”。实际上，这个应用程序将在后台启动一个安卓服务，并广播接收器读取最后的位置和扫描接收到的短信。

这个恶意程序在寻找什么？Zscaler表示，它正在寻找具有特定语法的信息，目标信息超过23个字符，应该在短信中包含“vova-”，它还将扫描包含“get faq”的消息。

攻击者还可以在设备电池电量不足时设置位置警报，还可以为恶意程序设置自己的密码。

让雷锋的编辑困惑的是为什么恶意程序没有被检测到。

Zscaler认为它可能处于初始阶段，因为它接受基于短信的指令，所以在分析过程中，没有反病毒引擎在virustotal中找到这个应用程序。

Virustotal是一个众所周知的免费在线病毒木马和恶意软件分析服务。被谷歌收购后，它已经成为谷歌安卓内置反病毒功能和浏览器内置安全功能的一部分。

该应用程序最近一次更新是在2014年12月，并成功避免了长时间的检测，但它仍然处于活动状态。此外，安全研究人员还发现，该应用程序的代码与几年前发现的droidjack特洛伊木马相同，后者也在窃取信息。最近，这款木马也被用于盗版宠物精灵围棋和超级马里奥游戏。

Zscaler指出，谷歌play Store中有许多应用程序都是间谍软件。例如，这些间谍软件将通过短信监控配偶或子女的位置，但这些应用程序在开始时明确说明了它们的用途-它们被用作间谍，而不是本报告中提到的应用程序。这种申请动机不良。它伪装成一个系统更新，误导用户以为他们正在下载安卓系统更新应用程序。

雷锋文章版权所有。严禁擅自转载。详情请参考转载说明。

来源：搜狐微门户