Google Play商店的“系统更新”隐藏间谍软件,数百万用户中招\
近日,根据外媒 threat post报道,一款被用户认为可以提供软件升级服务的Android应用程序中暗藏名为“SMSVova”的恶意程序,可以偷偷追踪用户的地理位置。
“SMSVova”恶意程序隐藏在一款虚假的“软件更新”应用程序中,并通过短信从攻击方接收指令,以执行诸如为“SMSVova”间谍软件设置和更改密码以及检索位置数据等功能。
根据美国云安全公司Zscaler的研究人员介绍,该应用于 2014 年在 Play 商店上架,在过去三年的时间里,已经有超过100万到500万次的用户通过美国的Google Play商店下载了该应用程序。Zscaler表示,在通知该安全问题后,谷歌已在前不久将其下架。
研究人员表示,该系统更新应用程序有意误导用户,从未透露其收集位置数据的真实意图。该应用程序最接近透明度的信息就是Google Play中的产品描述:“此应用程序提供更新服务并启用特殊的位置功能”。
其实,Google Play 页面在该应用程序启动时,本应向用户发出警告,但是,在分析该软件时,我们发现显示的却是空白的屏幕截图,让用户误以为应用程序在打开时发生了故障。
一旦用户尝试启动安装的应用程序时,该应用程序就会弹出一条消息:“很不幸,更新服务已停止”。Zscaler公司的安全研究人员Shivang Desai表示,其实,该应用程序有能力将其从主屏幕中隐藏起来。
在通知用户应用程序已经停止服务后,该应用程序会在后台启动用户手机的My Location Service(我的位置服务),来捕获用户的位置数据并将其存储在手机的“共享首选项”目录中。为了检索位置数据,SMSVova间谍软件开始发挥作用了。
Zscaler研究人员表示,SMSVova间谍软件会检索具有特定语法的信息,且目标信息超过 23 个字符,并应在 SMS 中包含“vova-”和“get faq”文本字符串的消息。
Zscaler研究人员表示,“一旦该间谍软件成功安装在受害者的设备上,攻击者就可以发送一条SMS消息‘get faq’,随后该间谍软件就会使用一组命令进行响应。其中一些命令包括‘更改当前密码’以及‘设置低电量通知’等。”
据Desai介绍,该间谍软件使用SMS命令来指示SMSVova检索并返回位置数据。“设置低电量通知”的命令消息是用来指示手机在电量不足时发送位置数据文本。
目前尚不清楚为什么该间谍软件需要收集位置数据,但是Zscaler表示,这些数据可能已经被用于实施许多恶意活动。
Desai认为,由于应用程序正处于初始阶段,其主要基于短信接受指令,所以VirusTotal和Google Play上的恶意软件检测工具无法检测到该威胁。另外一个原因是,该应用程序最近一次更新是在 2014 年 12 月,这就意味着,该应用程序没有像如今这般面对谷歌的严格分析。
关于VirusTotal
VirusTotal 是一个知名免费的在线病毒木马及恶意软件的分析服务,在被 Google 收购之后,它已成为了谷歌 Android 内置扫毒以及 Chrome 浏览器内建安全功能的一部分。
根据Google上个月推出的最新的“2016年度Android安全性”年度回顾报告,2016年,那些坚持只从Google Play官方应用商店下载应用的手机中,恶意软件感染率只有0.05%,去年这个数字也不过为0.15%。
Zscaler 指出,Google Play商店中有许多应用程序充当间谍软件;例如,那些监视配偶手机短信的人,或是那些想要获取孩子位置的父母,他们都会利用这些间谍软件来通过 SMS 短信监视配偶或者孩子的位置。但是,这些应用程序在一开始就明确表示了其目的,而不是像这个报告中分析的这类应用程序,将自己伪装成系统更新,误导用户认为他们正在下载 Android 的系统更新应用。
很多用户对该应用程序表达了不满
本文来自合作伙伴“阿里聚安全”,发表于2017年04月24日 14:50.