雷鋒網(wǎng)消息，據(jù)外媒 Security Week 報(bào)道，云安全服務(wù)商 Zscaler 稱，谷歌 Play 商店中一款 System Update（系統(tǒng)升級(jí)）的應(yīng)用欺騙了用戶——本來(lái)，用戶以為這個(gè)應(yīng)用可以提供 Android 軟件升級(jí)，沒(méi)想到其中暗藏惡意程序，竊聽(tīng)用戶地理位置，實(shí)時(shí)發(fā)會(huì)給攻擊者，并通過(guò)短信從攻擊方接收指令。

可怕的是，雷鋒網(wǎng)發(fā)現(xiàn)，該應(yīng)用于 2014 年在 Play 商店上架，前不久谷歌才將它下架，期間，下載量已達(dá)到100萬(wàn)到500萬(wàn)次。

其實(shí)，Google Play 頁(yè)面在該應(yīng)用程序啟動(dòng)時(shí)，本應(yīng)向用戶發(fā)出警告，但是，詭異的是，顯示的卻是空白的屏幕截圖，不明就里的用戶看到空白頁(yè)面居然仍然下載并安裝。

當(dāng)用戶嘗試運(yùn)行安裝的應(yīng)用程序時(shí)，該應(yīng)用還會(huì)彈出一條消息：“更新服務(wù)已停止”。其實(shí)，此應(yīng)用會(huì)在后臺(tái)開(kāi)啟一項(xiàng) Android 服務(wù)和廣播 receiver 讀取最后位置并掃描接收到的短信。

這個(gè)惡意程序正在尋找什么？Zscaler表示，它在尋找具有特定語(yǔ)法的信息，且目標(biāo)信息超過(guò) 23 個(gè)字符，并應(yīng)在 SMS 中包含”vova-“，它還會(huì)掃描包含“get faq”的消息。

攻擊者還可以在設(shè)備電池電量不足時(shí)，設(shè)置位置警報(bào)，并且還可以為該惡意程序設(shè)置自己的密碼。

讓雷鋒網(wǎng)編輯疑惑的是，為什么該惡意應(yīng)用沒(méi)有被檢測(cè)出來(lái)？

Zscaler 認(rèn)為，可能是在初始階段，由于其基于短信接受指令，所以在 VirusTotal 上，沒(méi)有反病毒引擎在分析時(shí)發(fā)現(xiàn)這個(gè)應(yīng)用。

VirusTotal 是一個(gè)知名免費(fèi)的在線病毒木馬及惡意軟件的分析服務(wù)，在被 Google 收購(gòu)之后，它已成為了谷歌 Android 內(nèi)置掃毒以及 Chrome 瀏覽器內(nèi)建安全功能的一部分。

該應(yīng)用程序最近一次更新是在 2014 年 12 月，并設(shè)法長(zhǎng)時(shí)間避開(kāi)了檢測(cè)，但仍然活躍。此外，安全研究人員還發(fā)現(xiàn)，該應(yīng)用程序的代碼與幾年前發(fā)現(xiàn)的 DroidJack 特洛伊木馬的代碼一樣，也在竊取信息，最近這個(gè)木馬還被用在盜版寵物小精靈GO和超級(jí)馬里奧這兩款游戲上。

Zscaler 指出，Google Play商店中有許多應(yīng)用是間諜軟件，例如，這些間諜軟件會(huì)通過(guò) SMS 短信監(jiān)視配偶或者孩子的位置，但是這些應(yīng)用程序在一開(kāi)始就明確表示了它目的——它們就是當(dāng)間諜用的，而不是這個(gè)報(bào)告里所說(shuō)的這種應(yīng)用程序。這種應(yīng)用程序動(dòng)機(jī)不良，它將自己偽裝成系統(tǒng)更新，誤導(dǎo)用戶認(rèn)為他們正在下載 Android 的系統(tǒng)更新應(yīng)用。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。