谷歌商店驚現(xiàn)未知間諜軟件

研究人員在谷歌官方應(yīng)用Google Play中發(fā)現(xiàn)了一款未知間諜軟件。有意思的是，這款間諜軟件與美國國家安全局（NSA）沒有聯(lián)系，反而和購買了監(jiān)控攝像頭的意大利政府扯上了關(guān)系。

這一軟件由Motherboard和Security Without Borders的研究人員聯(lián)合調(diào)查發(fā)現(xiàn)，Motherboard表示，這是安全研究員首次接觸到由監(jiān)視公司生成的惡意軟件，其被稱為 eSurv。

根據(jù)上周五安全無國界組織發(fā)布的調(diào)查結(jié)果技術(shù)報告，發(fā)現(xiàn)eSurv在兩年內(nèi)多次上傳至Google Play商店，在Play商店中保留數(shù)月后重新上傳。

Motherboard方表示，他們初步推斷該惡意程序來自意大利政府，而且是從銷售監(jiān)控攝像頭的公司購買的。因為在eSurv中的代碼中發(fā)現(xiàn)了意大利文字片段，例如來自卡拉布里亞的方言詞“mundizza”，以及來自卡拉布里亞的著名退休足球運動員RINO GATTUSO的名字（這是eSurv所在地區(qū)）。

eSurv在發(fā)出連接命令并控制服務(wù)器后會調(diào)用惡意軟件Exodus，Exodus有兩副面孔。表面上偽裝成無害的應(yīng)用程序，執(zhí)行接收意大利當(dāng)?shù)厥謾C(jī)提供商的促銷和營銷服務(wù)或者提供優(yōu)化設(shè)備性能的功能。暗地里卻進(jìn)行數(shù)據(jù)收集，其中收集的信息包括：用戶已安裝的應(yīng)用程序、瀏覽歷史記錄、通訊錄、短信、位置數(shù)據(jù)、Wi-Fi密碼等。這些信息被收集后打包發(fā)送至控制服務(wù)器，背后操控者可以輕易獲取。

更可怕的是，Exodus還可以激活攝像頭和麥克風(fēng)來捕獲音頻和視頻，并在使用時對應(yīng)用程序進(jìn)行屏幕截圖。

另外，Exodus包含了一個名為“CheckValidTarget”的函數(shù)，該函數(shù)據(jù)說可以“驗證”新感染的目標(biāo)。但研究人員表示，由于惡意軟件立即在他們使用的刻錄機(jī)手機(jī)上激活，所以沒有太多“驗證”正在進(jìn)行，并在整個測試過程中保持活躍。

更有意思的是，Exodus代碼沒有采取保護(hù)措施。意味著這款間諜軟件在受感染的手機(jī)上打開了一個遠(yuǎn)程命令shell，但沒有使用任何加密或身份驗證，因此與受感染設(shè)備在同一Wi-Fi網(wǎng)絡(luò)上的任何人都可以對其進(jìn)行入侵。例如，如果受感染的設(shè)備連接到公共Wi-Fi網(wǎng)絡(luò)，任何其他主機(jī)都能夠簡單地連接該端口，無需任何形式驗證。

也就是說，間諜軟件不僅可以窺探了用戶數(shù)據(jù)，更可能間接導(dǎo)致這些數(shù)據(jù)被篡改。

事實上，幾乎每隔一段時間Google Play就會被曝出隱藏惡意軟件，對于GooglePlay用戶來說，似乎已經(jīng)習(xí)以為常：

2018年1月，趨勢科技的研究人員在Google Play上發(fā)現(xiàn)了36個惡意應(yīng)用程序，有些應(yīng)用甚至被當(dāng)做安全工具使用；

2018年2月，谷歌宣布在2017年刪除了超過70萬款不良APP，阻止了100,000惡意應(yīng)用程序的開發(fā)人員分享惡意軟件；

2018年5月，SophosLabs發(fā)現(xiàn)照片編輯器應(yīng)用程序隱藏了Google Play上的惡意軟件；

2018年12月，Sophos的研究人員再次發(fā)現(xiàn)惡意軟件，這些應(yīng)用程序在未經(jīng)用戶允許的情況下下載文件，并最終耗盡用戶手機(jī)的電量。最終Google Play商店下架了22款惡意軟件；

2019年2月，研究人員在谷歌官方應(yīng)用Google Play中發(fā)現(xiàn)了一種名為“clipper”的惡意軟件。該惡意軟件會自動攔截剪貼板的內(nèi)容，并使用攻擊性內(nèi)容將其替換掉。在加密貨幣交易的情況下，受影響的用戶最終可能會將復(fù)制的錢包地址悄悄切換到攻擊者的地址。