Google Play商店的「系統更新」隱藏間諜軟體,數百萬用戶中招
近日,根據外媒 threat post報道,一款被用戶認為可以提供軟體升級服務的Android應用程序中暗藏名為「SMSVova」的惡意程序,可以偷偷追蹤用戶的地理位置。
「SMSVova」惡意程序隱藏在一款虛假的「軟體更新」應用程序中,並通過簡訊從攻擊方接收指令,以執行諸如為「SMSVova」間諜軟體設置和更改密碼以及檢索位置數據等功能。
根據美國雲安全公司Zscaler的研究人員介紹,該應用於 2014 年在 Play 商店上架,在過去三年的時間裡,已經有超過100萬到500萬次的用戶通過美國的Google Play商店下載了該應用程序。Zscaler表示,在通知該安全問題後,谷歌已在前不久將其下架。
研究人員表示,該系統更新應用程序有意誤導用戶,從未透露其收集位置數據的真實意圖。該應用程序最接近透明度的信息就是Google Play中的產品描述:「此應用程序提供更新服務並啟用特殊的位置功能」。
其實,Google Play 頁面在該應用程序啟動時,本應向用戶發出警告,但是,在分析該軟體時,我們發現顯示的卻是空白的屏幕截圖,讓用戶誤以為應用程序在打開時發生了故障。
一旦用戶嘗試啟動安裝的應用程序時,該應用程序就會彈出一條消息:「很不幸,更新服務已停止」。Zscaler公司的安全研究人員Shivang Desai表示,其實,該應用程序有能力將其從主屏幕中隱藏起來。
在通知用戶應用程序已經停止服務後,該應用程序會在後台啟動用戶手機的My Location Service(我的位置服務),來捕獲用戶的位置數據並將其存儲在手機的「共享首選項」目錄中。為了檢索位置數據,SMSVova間諜軟體開始發揮作用了。
Zscaler研究人員表示,SMSVova間諜軟體會檢索具有特定語法的信息,且目標信息超過 23 個字元,並應在 SMS 中包含「vova-」和「get faq」文本字元串的消息。
Zscaler研究人員表示,「一旦該間諜軟體成功安裝在受害者的設備上,攻擊者就可以發送一條SMS消息『get faq』,隨後該間諜軟體就會使用一組命令進行響應。其中一些命令包括『更改當前密碼』以及『設置低電量通知』等。」
據Desai介紹,該間諜軟體使用SMS命令來指示SMSVova檢索並返回位置數據。「設置低電量通知」的命令消息是用來指示手機在電量不足時發送位置數據文本。
目前尚不清楚為什麼該間諜軟體需要收集位置數據,但是Zscaler表示,這些數據可能已經被用於實施許多惡意活動。
Desai認為,由於應用程序正處於初始階段,其主要基於簡訊接受指令,所以VirusTotal和Google Play上的惡意軟體檢測工具無法檢測到該威脅。另外一個原因是,該應用程序最近一次更新是在 2014 年 12 月,這就意味著,該應用程序沒有像如今這般面對谷歌的嚴格分析。
關於VirusTotal
VirusTotal 是一個知名免費的在線病毒木馬及惡意軟體的分析服務,在被 Google 收購之後,它已成為了谷歌 Android 內置掃毒以及 Chrome 瀏覽器內建安全功能的一部分。
根據Google上個月推出的最新的「2016年度Android安全性」年度回顧報告,2016年,那些堅持只從Google Play官方應用商店下載應用的手機中,惡意軟體感染率只有0.05%,去年這個數字也不過為0.15%。
Zscaler 指出,Google Play商店中有許多應用程序充當間諜軟體;例如,那些監視配偶手機簡訊的人,或是那些想要獲取孩子位置的父母,他們都會利用這些間諜軟體來通過 SMS 簡訊監視配偶或者孩子的位置。但是,這些應用程序在一開始就明確表示了其目的,而不是像這個報告中分析的這類應用程序,將自己偽裝成系統更新,誤導用戶認為他們正在下載 Android 的系統更新應用。
【很多用戶對該應用程序表達了不滿】
本文翻譯自:SMSVova Spyware Hiding in 『System Update』 App Ejected From Google Play Store,如若轉載,請註明來源於嘶吼: Google Play商店的「系統更新」隱藏間諜軟體,數百萬用戶中招 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※通過 WebView 攻擊 Android 應用
※手機安全軟體給你留下了哪些感受?
※安全意識和安全思維是什麼,如何培養?
TAG:GooglePlay | 移动安全 |