摘要：月同時(shí)，約有百萬(wàn)用戶在谷歌應(yīng)用商店里感染了惡意軟件，它隱藏在超過(guò)多個(gè)流行的游戲中，例如。近日安全研究者發(fā)現(xiàn)在第三方應(yīng)用市場(chǎng)和谷歌應(yīng)用商店存在上千款惡意偽裝軟件。是如何工作的首先上傳至谷歌應(yīng)用市場(chǎng)，偽裝成名為的通信工具。

如果你認(rèn)為在官方應(yīng)用市場(chǎng)里下載app就覺(jué)得安全的話，小編可以負(fù)責(zé)任的回答你：“too young too simple,sometimes native”

今年4月，BankBot 銀行木馬出現(xiàn)在谷歌Play應(yīng)用商店中，該木馬可以讓攻擊者獲得管理員權(quán)限，并執(zhí)行大量惡意任務(wù)，包括竊取銀行登錄信息。

4月同時(shí)，約有2百萬(wàn)Android用戶在谷歌Play應(yīng)用商店里感染了FalseGuide 惡意軟件，它隱藏在超過(guò)40多個(gè)流行的游戲app中，例如Pokémon Go、FIFA Mobile。

上月，一款名為Xavier惡意軟件，它被發(fā)現(xiàn)在800個(gè)不同的Android app中，這些程序在谷歌Play中下載了數(shù)百萬(wàn)次，并且悄無(wú)聲息的收集用戶數(shù)據(jù)。

就在昨天，阿里聚安全小編發(fā)表的《銀行劫持類病毒鼻祖BankBot再度來(lái)襲》，一批偽裝成flashlight、vides和game的BankBot惡意軟件，又出現(xiàn)在谷歌Play 官方應(yīng)用商店中。

……

然而并沒(méi)有結(jié)束，互聯(lián)網(wǎng)的世界，你或許只看到了冰山一角。

近日安全研究者發(fā)現(xiàn)在第三方應(yīng)用市場(chǎng)和谷歌Play應(yīng)用商店 存在上千款惡意偽裝軟件。它們可以監(jiān)視用戶行為，比如對(duì)用戶撥打電話，靜默錄音等。該惡意軟件名為SonicSpy，它偽裝成一個(gè)即時(shí)通信app，并從今年2月份開(kāi)始，在各大應(yīng)用市場(chǎng)里瘋狂蔓延傳播，連谷歌Play都不幸中招。

執(zhí)行一大堆的惡意任務(wù)
SonicSpy間諜軟件可以執(zhí)行大量惡意任務(wù)，讓它成為一個(gè)完美的移動(dòng)竊聽(tīng)器。

具體功能如下：
1、靜默錄音
2、靜默撥打電話
3、劫持相機(jī)和拍照功能
4、竊取用戶數(shù)據(jù)，包括通訊記錄、聯(lián)系人信息
5、發(fā)送指定內(nèi)容的短信
6、通過(guò)WIFI接入點(diǎn)，追蹤用戶地址
……

該惡意軟件是由移動(dòng)安全公司Lookout的研究員發(fā)現(xiàn)，并在谷歌Play 應(yīng)用市場(chǎng)發(fā)現(xiàn)了其他2個(gè)變種——Hulk Messenger、Troy Chat。數(shù)據(jù)顯示它們已經(jīng)被用戶下載超過(guò)上千次。雖然Soniac、Hulk Messenger、Troy Chat均已被被谷歌應(yīng)用市場(chǎng)下架移除，但是它們依舊活躍在其他第三方Android應(yīng)用市場(chǎng)。

SonicSpy是如何工作的
首先上傳至谷歌Play 應(yīng)用市場(chǎng)，偽裝成名為Soniac 的通信工具。（如何繞過(guò)谷歌play的殺毒引擎的技術(shù)分析，可以參考阿里聚安全的這篇文章：https://jaq.alibaba.com/commu...）

一旦安裝，Soniac 立即刪除啟動(dòng)圖標(biāo)來(lái)隱藏自己，并試圖通過(guò)C＆C服務(wù)器下載修改后的app。SonicSpy 惡意軟件家族共支持73種不同的遠(yuǎn)程指令，攻擊者可以在受到SonicSpy 感染的Android設(shè)備上遠(yuǎn)程執(zhí)行惡意任務(wù)。

或和伊拉克開(kāi)發(fā)者有關(guān)
研究者認(rèn)為該惡意軟件和一家伊拉克的企業(yè)有關(guān)。因?yàn)镾onicSpy 的代碼和 SpyNote非常相似，而SpyNote 是一款偽裝成Netflix 的惡意app，它是由一名伊拉克黑客創(chuàng)造，在2016年7月份被發(fā)現(xiàn)。

有許多跡象表明，2款應(yīng)用來(lái)源于同一個(gè)開(kāi)發(fā)者。例如家族代碼的相似性，經(jīng)常使用動(dòng)態(tài)DNS服務(wù)，并運(yùn)行非標(biāo)準(zhǔn)的222接口。另外最重要的證據(jù)是因?yàn)樗拈_(kāi)發(fā)者賬號(hào)，兩者都包含Soniac 。并且上傳在谷歌應(yīng)用市場(chǎng)的賬號(hào)是”iraqiwebservice”。

SonicSpy 可能會(huì)再次來(lái)襲
盡管SonicSpy感染的app已經(jīng)從應(yīng)用市場(chǎng)里移除，但研究員警告稱，該惡意軟件家族已經(jīng)證明他們有能力在官方應(yīng)用市場(chǎng)里植入惡意軟件。他們可以利用不同的開(kāi)發(fā)者賬號(hào)，上傳惡意軟件并隱藏在不同的app中。雖然谷歌已經(jīng)采取了很多安全措施，以防止惡意應(yīng)用通過(guò)谷歌的安全檢查，但仍有漏網(wǎng)之魚(yú)。

如何保護(hù)和預(yù)防？
對(duì)于自身為應(yīng)用市場(chǎng)的企業(yè)而言，如何避免惡意應(yīng)用通過(guò)自己的渠道進(jìn)行分發(fā)傳播是一個(gè)嚴(yán)峻的考驗(yàn)。它不僅對(duì)用戶造成損失，還進(jìn)而影響分發(fā)渠道的聲譽(yù)，因此建立完善并強(qiáng)大的APP掃描檢測(cè)能力是非常重要的一環(huán)。

阿里聚安全提供的惡意代碼掃描能力不僅可以對(duì)已發(fā)布的巨大存量應(yīng)用，通過(guò)調(diào)用移動(dòng)安全惡意代碼掃描的API接口進(jìn)行定期全量掃描。還能對(duì)申請(qǐng)發(fā)布的APP，在上線前對(duì)其進(jìn)行惡意代碼掃描，防止惡意應(yīng)用蒙混過(guò)關(guān)。

目前免費(fèi)提供掃描測(cè)試，地址：https://jaq.alibaba.com/safety

對(duì)于自己研發(fā)APP的企業(yè)而言，也不要放松警惕，黑客可能會(huì)在你的原生APP中，植入惡意代碼，成功仿冒并分發(fā)到各個(gè)渠道，這同樣會(huì)對(duì)企業(yè)造成很大的損失。

作為個(gè)人用戶而言，最簡(jiǎn)單的辦法就是確保下載的應(yīng)用來(lái)自官網(wǎng)或官方應(yīng)用市場(chǎng)，雖然不能完全避免中招，但是可以最大程度的降低感染幾率。最后建議下載一個(gè)手機(jī)安全防護(hù)軟件，例如錢盾app，可以有效檢測(cè)和阻止這些惡意軟件，并保持設(shè)備系統(tǒng)和app版本的更新。

內(nèi)容部分編譯自thehackernews，更多安全類熱點(diǎn)信息和知識(shí)分享，請(qǐng)關(guān)注阿里聚安全的官方博客