谷歌Play一安卓「系統升級」暗藏「間諜」，數百萬人已中招

本文作者：李勤

導語：谷歌 Play商店中一款 System Update（系統升級）的應用欺騙了用戶。

雷鋒網消息，據外媒 Security Week 報道，雲安全服務商 Zscaler 稱，谷歌 Play 商店中一款 System Update（系統升級）的應用欺騙了用戶——本來，用戶以為這個應用可以提供 Android 軟體升級，沒想到其中暗藏惡意程序，竊聽用戶地理位置，實時發會給攻擊者，並通過簡訊從攻擊方接收指令。

可怕的是，雷鋒網(公眾號：雷鋒網)發現，該應用於 2014 年在 Play 商店上架，前不久谷歌才將它下架，期間，下載量已達到100萬到500萬次。

其實，Google Play 頁面在該應用程序啟動時，本應向用戶發出警告，但是，詭異的是，顯示的卻是空白的屏幕截圖，不明就裡的用戶看到空白頁面居然仍然下載並安裝。

當用戶嘗試運行安裝的應用程序時，該應用還會彈出一條消息：「更新服務已停止」。其實，此應用會在後台開啟一項 Android 服務和廣播 receiver 讀取最後位置並掃描接收到的簡訊。

這個惡意程序正在尋找什麼？Zscaler表示，它在尋找具有特定語法的信息，且目標信息超過 23 個字元，並應在 SMS 中包含」vova-「，它還會掃描包含「get faq」的消息。

攻擊者還可以在設備電池電量不足時，設置位置警報，並且還可以為該惡意程序設置自己的密碼。

讓雷鋒網編輯疑惑的是，為什麼該惡意應用沒有被檢測出來？

Zscaler 認為，可能是在初始階段，由於其基於簡訊接受指令，所以在 VirusTotal 上，沒有反病毒引擎在分析時發現這個應用。

VirusTotal 是一個知名免費的在線病毒木馬及惡意軟體的分析服務，在被 Google 收購之後，它已成為了谷歌 Android 內置掃毒以及 Chrome 瀏覽器內建安全功能的一部分。

該應用程序最近一次更新是在 2014 年 12 月，並設法長時間避開了檢測，但仍然活躍。此外，安全研究人員還發現，該應用程序的代碼與幾年前發現的 DroidJack 特洛伊木馬的代碼一樣，也在竊取信息，最近這個木馬還被用在盜版寵物小精靈GO和超級馬里奧這兩款遊戲上。

Zscaler 指出，Google Play商店中有許多應用是間諜軟體，例如，這些間諜軟體會通過 SMS 簡訊監視配偶或者孩子的位置，但是這些應用程序在一開始就明確表示了它目的——它們就是當間諜用的，而不是這個報告里所說的這種應用程序。這種應用程序動機不良，它將自己偽裝成系統更新，誤導用戶認為他們正在下載 Android 的系統更新應用。

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。但，歡迎轉發分享~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！