Google Play商店的“系统更新”隐藏间谍软件，数百万用户中招

近日，根据外媒 threat post报道，一款被用户认为可以提供软件升级服务的Android应用程序中暗藏名为“SMSVova”的恶意程序，可以偷偷追踪用户的地理位置。

“SMSVova”恶意程序隐藏在一款虚假的“软件更新”应用程序中，并通过短信从攻击方接收指令，以执行诸如为“SMSVova”间谍软件设置和更改密码以及检索位置数据等功能。

根据美国云安全公司Zscaler的研究人员介绍，该应用于 2014 年在 Play 商店上架，在过去三年的时间里，已经有超过100万到500万次的用户通过美国的Google Play商店下载了该应用程序。Zscaler表示，在通知该安全问题后，谷歌已在前不久将其下架。

研究人员表示，该系统更新应用程序有意误导用户，从未透露其收集位置数据的真实意图。该应用程序最接近透明度的信息就是Google Play中的产品描述：“此应用程序提供更新服务并启用特殊的位置功能”。

其实，Google Play 页面在该应用程序启动时，本应向用户发出警告，但是，在分析该软件时，我们发现显示的却是空白的屏幕截图，让用户误以为应用程序在打开时发生了故障。

一旦用户尝试启动安装的应用程序时，该应用程序就会弹出一条消息：“很不幸，更新服务已停止”。Zscaler公司的安全研究人员Shivang Desai表示，其实，该应用程序有能力将其从主屏幕中隐藏起来。

在通知用户应用程序已经停止服务后，该应用程序会在后台启动用户手机的My Location Service（我的位置服务），来捕获用户的位置数据并将其存储在手机的“共享首选项”目录中。为了检索位置数据，SMSVova间谍软件开始发挥作用了。

Zscaler研究人员表示，SMSVova间谍软件会检索具有特定语法的信息，且目标信息超过 23 个字符，并应在 SMS 中包含“vova-”和“get faq”文本字符串的消息。

Zscaler研究人员表示，“一旦该间谍软件成功安装在受害者的设备上，攻击者就可以发送一条SMS消息‘get faq’，随后该间谍软件就会使用一组命令进行响应。其中一些命令包括‘更改当前密码’以及‘设置低电量通知’等。”

据Desai介绍，该间谍软件使用SMS命令来指示SMSVova检索并返回位置数据。“设置低电量通知”的命令消息是用来指示手机在电量不足时发送位置数据文本。

目前尚不清楚为什么该间谍软件需要收集位置数据，但是Zscaler表示，这些数据可能已经被用于实施许多恶意活动。

Desai认为，由于应用程序正处于初始阶段，其主要基于短信接受指令，所以VirusTotal和Google Play上的恶意软件检测工具无法检测到该威胁。另外一个原因是，该应用程序最近一次更新是在 2014 年 12 月，这就意味着，该应用程序没有像如今这般面对谷歌的严格分析。

关于VirusTotal

VirusTotal 是一个知名免费的在线病毒木马及恶意软件的分析服务，在被 Google 收购之后，它已成为了谷歌 Android 内置扫毒以及 Chrome 浏览器内建安全功能的一部分。

根据Google上个月推出的最新的“2016年度Android安全性”年度回顾报告，2016年，那些坚持只从Google Play官方应用商店下载应用的手机中，恶意软件感染率只有0.05%，去年这个数字也不过为0.15%。

Zscaler 指出，Google Play商店中有许多应用程序充当间谍软件；例如，那些监视配偶手机短信的人，或是那些想要获取孩子位置的父母，他们都会利用这些间谍软件来通过 SMS 短信监视配偶或者孩子的位置。但是，这些应用程序在一开始就明确表示了其目的，而不是像这个报告中分析的这类应用程序，将自己伪装成系统更新，误导用户认为他们正在下载 Android 的系统更新应用。

 很多用户对该应用程序表达了不满

本文来自合作伙伴“阿里聚安全”，发表于2017年04月24日 14:50.