雷鋒網(wǎng)4月3日消息，研究人員在谷歌官方應(yīng)用 Google Play 中發(fā)現(xiàn)了一款未知間諜軟件。有意思的是，這款間諜軟件與美國(guó)國(guó)家安全局（NSA）沒(méi)有聯(lián)系，反而和購(gòu)買(mǎi)了監(jiān)控?cái)z像頭的意大利政府扯上了關(guān)系。

這一軟件由 Motherboard和Security Without Borders（一個(gè)非營(yíng)利組織，經(jīng)常調(diào)查持不同政見(jiàn)者和人權(quán)維護(hù)者被威脅事件）的研究人員聯(lián)合調(diào)查發(fā)現(xiàn)，Motherboard表示，這是安全研究員首次接觸到由監(jiān)視公司生成的惡意軟件，其被稱為 eSurv。

根據(jù)上周五安全無(wú)國(guó)界組織發(fā)布的調(diào)查結(jié)果技術(shù)報(bào)告，發(fā)現(xiàn) eSurv 在兩年內(nèi)多次上傳至 Google Play 商店，在Play商店中保留數(shù)月后重新上傳。

Motherboard方表示，他們初步推斷該惡意程序來(lái)自意大利政府，而且是從銷售監(jiān)控?cái)z像頭的公司購(gòu)買(mǎi)的。因?yàn)樵趀Surv中的代碼中發(fā)現(xiàn)了意大利文字片段，例如來(lái)自卡拉布里亞的方言詞“mundizza”，以及來(lái)自卡拉布里亞的著名退休足球運(yùn)動(dòng)員RINO GATTUSO的名字（這是eSurv所在地區(qū)）。

eSurv 在發(fā)出連接命令并控制服務(wù)器后會(huì)調(diào)用惡意軟件 Exodus，Exodus 有兩副面孔。表面上偽裝成無(wú)害的應(yīng)用程序，執(zhí)行接收意大利當(dāng)?shù)厥謾C(jī)提供商的促銷和營(yíng)銷服務(wù)或者提供優(yōu)化設(shè)備性能的功能。暗地里卻進(jìn)行數(shù)據(jù)收集，其中收集的信息包括：用戶已安裝的應(yīng)用程序、瀏覽歷史記錄、通訊錄、短信、位置數(shù)據(jù)、Wi-Fi密碼等。這些信息被收集后打包發(fā)送至控制服務(wù)器，背后操控者可以輕易獲取。

更可怕的是，Exodus還可以激活攝像頭和麥克風(fēng)來(lái)捕獲音頻和視頻，并在使用時(shí)對(duì)應(yīng)用程序進(jìn)行屏幕截圖。

另外，Exodus包含了一個(gè)名為“CheckValidTarget”的函數(shù)，該函數(shù)據(jù)說(shuō)可以“驗(yàn)證”新感染的目標(biāo)。但研究人員表示，由于惡意軟件立即在他們使用的刻錄機(jī)手機(jī)上激活，所以沒(méi)有太多“驗(yàn)證”正在進(jìn)行，并在整個(gè)測(cè)試過(guò)程中保持活躍。

更有意思的是，Exodus 代碼沒(méi)有采取保護(hù)措施。意味著這款間諜軟件在受感染的手機(jī)上打開(kāi)了一個(gè)遠(yuǎn)程命令shell，但沒(méi)有使用任何加密或身份驗(yàn)證，因此與受感染設(shè)備在同一Wi-Fi網(wǎng)絡(luò)上的任何人都可以對(duì)其進(jìn)行入侵。例如，如果受感染的設(shè)備連接到公共Wi-Fi網(wǎng)絡(luò)，任何其他主機(jī)都能夠簡(jiǎn)單地連接該端口，無(wú)需任何形式驗(yàn)證。

也就是說(shuō)，間諜軟件不僅可以窺探了用戶數(shù)據(jù)，更可能間接導(dǎo)致這些數(shù)據(jù)被篡改。

事實(shí)上，幾乎每隔一段時(shí)間 Google Play 就會(huì)被曝出隱藏惡意軟件，對(duì)于Google Play用戶來(lái)說(shuō)，似乎已經(jīng)習(xí)以為常：

2018年1月，趨勢(shì)科技的研究人員在Google Play上發(fā)現(xiàn)了36個(gè)惡意應(yīng)用程序，有些應(yīng)用甚至被當(dāng)做安全工具使用；

2018年2月，谷歌宣布在2017年刪除了超過(guò)70萬(wàn)款不良APP，阻止了100,000惡意應(yīng)用程序的開(kāi)發(fā)人員分享惡意軟件；

2018年5月，SophosLabs發(fā)現(xiàn)照片編輯器應(yīng)用程序隱藏了Google Play上的惡意軟件；

2018年12月，Sophos的研究人員再次發(fā)現(xiàn)惡意軟件，這些應(yīng)用程序在未經(jīng)用戶允許的情況下下載文件，并最終耗盡用戶手機(jī)的電量。最終Google Play商店下架了22款惡意軟件；

2019年2月，研究人員在谷歌官方應(yīng)用Google Play中發(fā)現(xiàn)了一種名為“clipper”的惡意軟件。該惡意軟件會(huì)自動(dòng)攔截剪貼板的內(nèi)容，并使用攻擊性內(nèi)容將其替換掉。在加密貨幣交易的情況下，受影響的用戶最終可能會(huì)將復(fù)制的錢(qián)包地址悄悄切換到攻擊者的地址……

雷鋒網(wǎng) VIA nakedsecurity 

雷鋒網(wǎng)文章

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。