據(jù)外媒Security Week報(bào)道,云安全服務(wù)商Zscaler稱,谷歌Play商店中一款System Update(系統(tǒng)升級(jí))的應(yīng)用欺騙了用戶——本來,用戶以為這個(gè)應(yīng)用可以提供Android軟件升級(jí),沒想到其中暗藏惡意程序,竊聽用戶地理位置,實(shí)時(shí)發(fā)會(huì)給攻擊者,并通過短信從攻擊方接收指令。
可怕的是,雷鋒網(wǎng)發(fā)現(xiàn),該應(yīng)用于2014年在Play商店上架,前不久谷歌才將它下架,期間,下載量已達(dá)到100萬到500萬次。
其實(shí),Google Play頁面在該應(yīng)用程序啟動(dòng)時(shí),本應(yīng)向用戶發(fā)出警告,但是,詭異的是,顯示的卻是空白的屏幕截圖,不明就里的用戶看到空白頁面居然仍然下載并安裝。
當(dāng)用戶嘗試運(yùn)行安裝的應(yīng)用程序時(shí),該應(yīng)用還會(huì)彈出一條消息:“更新服務(wù)已停止”。其實(shí),此應(yīng)用會(huì)在后臺(tái)開啟一項(xiàng)Android服務(wù)和廣播receiver讀取最后位置并掃描接收到的短信。
這個(gè)惡意程序正在尋找什么?Zscaler表示,它在尋找具有特定語法的信息,且目標(biāo)信息超過23個(gè)字符,并應(yīng)在SMS中包含”vova-“,它還會(huì)掃描包含“get faq”的消息。
攻擊者還可以在設(shè)備電池電量不足時(shí),設(shè)置位置警報(bào),并且還可以為該惡意程序設(shè)置自己的密碼。
讓雷鋒網(wǎng)編輯疑惑的是,為什么該惡意應(yīng)用沒有被檢測出來?
Zscaler認(rèn)為,可能是在初始階段,由于其基于短信接受指令,所以在VirusTotal上,沒有反病毒引擎在分析時(shí)發(fā)現(xiàn)這個(gè)應(yīng)用。
VirusTotal是一個(gè)知名免費(fèi)的在線病毒木馬及惡意軟件的分析服務(wù),在被Google 收購之后,它已成為了谷歌Android 內(nèi)置掃毒以及 Chrome 瀏覽器內(nèi)建安全功能的一部分。
該應(yīng)用程序最近一次更新是在2014年12月,并設(shè)法長時(shí)間避開了檢測,但仍然活躍。此外,安全研究人員還發(fā)現(xiàn),該應(yīng)用程序的代碼與幾年前發(fā)現(xiàn)的 DroidJack 特洛伊木馬的代碼一樣,也在竊取信息,最近這個(gè)木馬還被用在盜版寵物小精靈GO和超級(jí)馬里奧這兩款游戲上。
Zscaler 指出,Google Play商店中有許多應(yīng)用是間諜軟件,例如,這些間諜軟件會(huì)通過 SMS 短信監(jiān)視配偶或者孩子的位置,但是這些應(yīng)用程序在一開始就明確表示了它目的——它們就是當(dāng)間諜用的,而不是這個(gè)報(bào)告里所說的這種應(yīng)用程序。這種應(yīng)用程序動(dòng)機(jī)不良,它將自己偽裝成系統(tǒng)更新,誤導(dǎo)用戶認(rèn)為他們正在下載 Android 的系統(tǒng)更新應(yīng)用。