一款Android恶意软件在成功渗透进入Google Play应用商店后,至少被全球100000名用户下载,该恶意软件能够窥探用户位置、通信日志并能够窃取文件和帐户凭据。
研究人员已经检测到几个上传到Google Play的应用程序,其目的是分辨MobSTSPY恶意软件。带有恶意软件的应用程序包括游戏――《笨鸟先飞》(Flappy Bird)的恶意版本和一个名为Flappy Birr Dog的克隆版本――以及包括手电筒和模拟器在内的诸多通用应用程序。
谷歌
这些应用程序在最初上传到应用商店的时候,可能是没有激活的恶意代码,只有供日后进行攻击的基础架构。而攻击可能是几个月之后的事情,等到大量用户下载了该应用程序之后才会发生。安全策略师Bharat Mistry对媒体表示:“通常谷歌会对新应用程序进行更严格的检查,但随着时间的推移,对应用程序进行更新并证明它们没有恶意,检查的级别可能会降低。”
“一旦应用程序获得了一定的可信度并且用户分布良好,应用程序开发人员就会发布一个启用恶意功能的更新。”安装后,MobSTSPY会检查设备的网络可用性,然后再连接到命令和控制服务器并收集有关设备的信息,包括其注册国家/地区、软件包名称和制造商。根据攻击者发出的命令,该恶意软件可以进行许多恶意活动。其中包括窃取短信、联系人列表和各种文件,如截图、录音和WhatsApp数据。
除了直接从受感染的Android设备窃取文件外,MobSTSPY还可以通过网络钓鱼攻击来收集其他数据。该恶意软件会显示来自脸书和谷歌等热门网站的假冒弹出窗口,要求用户登录其帐户。虚假弹出窗口告诉用户他们的登录不成功并消失,从而实现了窃取用户名和密码的目标。最终,恶意软件的受害者可能会有大量的个人数据被攻击者窃取,使他们的隐私受到威胁并使他们容易受到其他攻击――特别是如果信息在地下市场交换的话。
研究人员指出,该恶意软件已经广泛传播,受害者遍布全球196个国家,范围从美国、欧洲和中东,一直到东亚。然而,几乎三分之一的受害者都在印度,这可能是一条表明病毒传播者位置的线索。
Mistry表示:“看看受影响最严重的国家,看起来网络犯罪分子正在印度次大陆及其周围地区开展活动。”所有恶意应用程序――Flappy Birr Dog、Flappy Bird、FlashLight、HZPermis Pro Arabe、Win7imulatorand和Win7Launcher――现在已经被从Google Play商店中删除。
当被问及该公司如何确保恶意软件不会渗透进入其官方商店时,一位谷歌的发言人对媒体表示:“我们会删除违反我们政策的应用程序,例如非法的应用程序。”虽然无法再下载这些应用程序,但仍有数十万用户无意中被感染。