Google Play商店的「系統更新」隱藏間諜軟體，數百萬用戶中招

近日，根據外媒 threat post報道，一款被用戶認為可以提供軟體升級服務的Android應用程序中暗藏名為「SMSVova」的惡意程序，可以偷偷追蹤用戶的地理位置。

「SMSVova」惡意程序隱藏在一款虛假的「軟體更新」應用程序中，並通過簡訊從攻擊方接收指令，以執行諸如為「SMSVova」間諜軟體設置和更改密碼以及檢索位置數據等功能。

根據美國雲安全公司Zscaler的研究人員介紹，該應用於 2014 年在 Play 商店上架，在過去三年的時間裡，已經有超過100萬到500萬次的用戶通過美國的Google Play商店下載了該應用程序。Zscaler表示，在通知該安全問題後，谷歌已在前不久將其下架。

研究人員表示，該系統更新應用程序有意誤導用戶，從未透露其收集位置數據的真實意圖。該應用程序最接近透明度的信息就是Google Play中的產品描述：「此應用程序提供更新服務並啟用特殊的位置功能」。

其實，Google Play 頁面在該應用程序啟動時，本應向用戶發出警告，但是，在分析該軟體時，我們發現顯示的卻是空白的屏幕截圖，讓用戶誤以為應用程序在打開時發生了故障。

一旦用戶嘗試啟動安裝的應用程序時，該應用程序就會彈出一條消息：「很不幸，更新服務已停止」。Zscaler公司的安全研究人員Shivang Desai表示，其實，該應用程序有能力將其從主屏幕中隱藏起來。

在通知用戶應用程序已經停止服務後，該應用程序會在後台啟動用戶手機的My Location Service（我的位置服務），來捕獲用戶的位置數據並將其存儲在手機的「共享首選項」目錄中。為了檢索位置數據，SMSVova間諜軟體開始發揮作用了。

Zscaler研究人員表示，SMSVova間諜軟體會檢索具有特定語法的信息，且目標信息超過 23 個字元，並應在 SMS 中包含「vova-」和「get faq」文本字元串的消息。

Zscaler研究人員表示，「一旦該間諜軟體成功安裝在受害者的設備上，攻擊者就可以發送一條SMS消息『get faq』，隨後該間諜軟體就會使用一組命令進行響應。其中一些命令包括『更改當前密碼』以及『設置低電量通知』等。」

據Desai介紹，該間諜軟體使用SMS命令來指示SMSVova檢索並返回位置數據。「設置低電量通知」的命令消息是用來指示手機在電量不足時發送位置數據文本。

目前尚不清楚為什麼該間諜軟體需要收集位置數據，但是Zscaler表示，這些數據可能已經被用於實施許多惡意活動。

Desai認為，由於應用程序正處於初始階段，其主要基於簡訊接受指令，所以VirusTotal和Google Play上的惡意軟體檢測工具無法檢測到該威脅。另外一個原因是，該應用程序最近一次更新是在 2014 年 12 月，這就意味著，該應用程序沒有像如今這般面對谷歌的嚴格分析。

關於VirusTotal

VirusTotal 是一個知名免費的在線病毒木馬及惡意軟體的分析服務，在被 Google 收購之後，它已成為了谷歌 Android 內置掃毒以及 Chrome 瀏覽器內建安全功能的一部分。

根據Google上個月推出的最新的「2016年度Android安全性」年度回顧報告，2016年，那些堅持只從Google Play官方應用商店下載應用的手機中，惡意軟體感染率只有0.05%，去年這個數字也不過為0.15%。

Zscaler 指出，Google Play商店中有許多應用程序充當間諜軟體；例如，那些監視配偶手機簡訊的人，或是那些想要獲取孩子位置的父母，他們都會利用這些間諜軟體來通過 SMS 簡訊監視配偶或者孩子的位置。但是，這些應用程序在一開始就明確表示了其目的，而不是像這個報告中分析的這類應用程序，將自己偽裝成系統更新，誤導用戶認為他們正在下載 Android 的系統更新應用。

【很多用戶對該應用程序表達了不滿】

本文翻譯自：SMSVova Spyware Hiding in 『System Update』 App Ejected From Google Play Store，如若轉載，請註明來源於嘶吼： Google Play商店的「系統更新」隱藏間諜軟體，數百萬用戶中招 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：