暗藏「間諜」偽系統升級軟體藏身 Google Play,恐有 Android 數百萬使用者中招

作者 | 發布日期 2017 年 04 月 24 日 7:54 | 分類 Android , app , 資訊安全 follow us in feedly

據外媒 Security Week 報導,雲端安全服務商 Zscaler 稱,Google Play 商店中一款 System Update(系統升級)的應用軟體欺騙了使用者——本來,用戶以為這個應用軟體可以提供 Android 軟體升級,沒想到其中暗藏惡意程式,竊聽用戶地理位置,實時發會給攻擊者,並通過簡訊攻擊方接收指令。




可怕的是,該應用於 2014 年在 Play 商店上架,前不久 Google 才將它下架,期間,下載量已達到 100 萬到 500 萬次。

其實,Google Play 頁面在該應用程序啟動時,本應向用戶發出警告,但是,詭異的是,顯示的卻是空白的螢幕截圖,不明就裡的用戶看到空白頁面居然仍然下載並安裝。

當用戶嘗試運行安裝的應用程軟體時,該應用還會彈出一條消息:「更新服務已停止」。其實,此應用會在後台開啟一項 Android 服務和廣播 receiver 讀取最後位置並掃描接收到的簡訊。

這個惡意軟體正在尋找什麼?Zscaler表示,它在尋找具有特定語法的訊息,且目標訊息超過 23 個字元,並應在 SMS 中包含」vova-「,它還會掃描包含「get faq」的消息。

攻擊者還可以在設備電池電量不足時,設置位置警報,並且還可以為該惡意軟體設置自己的密碼。讓人疑惑的是,為什麼該惡意應用沒有被檢測出來?

Zscaler 認為,可能是在初始階段,由於其基於簡訊接受指令,所以在 VirusTotal 上,沒有違反病毒引擎在分析時發現這個應用。

VirusTotal 是一個知名免費的在線病毒木馬及惡意軟體的分析服務,在被 Google 收購之後,它已成為了 Google Android 內建掃毒以及 Chrome 瀏覽器預設安全功能的一部分。

該應用軟體最近一次更新是在 2014 年 12 月,並設法長時間避開了檢測,但仍然活躍。此外,安全研究人員還發現,該應用軟體的程式碼與幾年前發現的 DroidJack 特洛伊木馬的程式碼一樣,也在竊取訊息,最近這個木馬還被用在盜版 PokémonGO和超級馬利歐這兩款遊戲上。

Zscaler 指出,Google Play 商店中有許多應用軟體是間諜軟軟,例如,這些間諜軟體會通過 SMS 簡訊監控配偶或者孩子的位置,但是這些應用程序在一開始就明確表示了它目的——它們就是當間諜用的,而不是這個報告裡所說的這種應用程序。這種應用程序動機不良,它將自己偽裝成系統更新,誤導用戶認為他們正在下載 Android 的系統更新應用。

(本文由雷鋒網授權使用) 

關鍵字: