据外媒 Security Week 报导,云端安全服务商 Zscaler 称,Google Play 商店中一款 System Update(系统升级)的应用软件欺骗了使用者——本来,用户以为这个应用软件可以提供 Android 软件升级,没想到其中暗藏恶意程式,窃听用户地理位置,实时发会给攻击者,并通过简讯攻击方接收指令。
可怕的是,该应用于 2014 年在 Play 商店上架,前不久 Google 才将它下架,期间,下载量已达到 100 万到 500 万次。
其实,Google Play 页面在该应用程序启动时,本应向用户发出警告,但是,诡异的是,显示的却是空白的屏幕截图,不明就里的用户看到空白页面居然仍然下载并安装。
当用户尝试运行安装的应用程软件时,该应用还会弹出一条消息:“更新服务已停止”。其实,此应用会在后台开启一项 Android 服务和广播 receiver 读取最后位置并扫描接收到的简讯。
这个恶意软件正在寻找什么?Zscaler表示,它在寻找具有特定语法的讯息,且目标讯息超过 23 个字元,并应在 SMS 中包含”vova-“,它还会扫描包含“get faq”的消息。
攻击者还可以在设备电池电量不足时,设置位置警报,并且还可以为该恶意软件设置自己的密码。让人疑惑的是,为什么该恶意应用没有被检测出来?
Zscaler 认为,可能是在初始阶段,由于其基于简讯接受指令,所以在 VirusTotal 上,没有违反病毒引擎在分析时发现这个应用。
VirusTotal 是一个知名免费的在线病毒木马及恶意软件的分析服务,在被 Google 收购之后,它已成为了 Google Android 内建扫毒以及 Chrome 浏览器预设安全功能的一部分。
该应用软件最近一次更新是在 2014 年 12 月,并设法长时间避开了检测,但仍然活跃。此外,安全研究人员还发现,该应用软件的程式码与几年前发现的 DroidJack 特洛伊木马的程式码一样,也在窃取讯息,最近这个木马还被用在盗版 PokémonGO和超级马利欧这两款游戏上。
Zscaler 指出,Google Play 商店中有许多应用软件是间谍软软,例如,这些间谍软件会通过 SMS 简讯监控配偶或者孩子的位置,但是这些应用程序在一开始就明确表示了它目的——它们就是当间谍用的,而不是这个报告里所说的这种应用程序。这种应用程序动机不良,它将自己伪装成系统更新,误导用户认为他们正在下载 Android 的系统更新应用。
(本文由雷锋网授权使用)
