谷歌安全团队又被啪啪打脸!间谍软件AhMyth两度潜入Google Play商店

近日,网络安全公司ESET的研究人员在Google Play商店上发现了开源间谍软件AhMyth的身影,恶意APP开发者用他们的实际行动向谷歌安全团队证明,“你们的应用程序审查机制,弱爆了!”

恶意APP被命名“Radio Balouch”,又名“RB Music”,表面上看起来像是一款音乐播放器,但实际上暗藏了一个别有用心的功能——窃取用户的个人数据。

值得一提的是,这款APP曾两度绕过了Google Play商店的应用程序审查机制,好在谷歌安全团队在每次收到ESET研究人员的通报后都及时删除了它。

ESET提醒,RadioBalouch也已经潜入了其他的一些应用程序商店,并且它的开发者还在专门为它创建了一个网站,正积极通过Instagram和YouTube推广。

恶意活动分析

如上所述,Radio Balouch伪装成一款音乐播放器,但实际上会在后台默默地监视用户。

在发现了Radio Balouch的第一个版本后,ESET于7月2日向谷歌安全团队通报了这一情况,并且很快被删除。

7月13日,Radio Balouch再次出现在Google Play商店上,同样也在ESET通报给谷歌安全团队后被删除。图1.两度潜入Google Play商店的Radio Balouch应用程序

图1.两度潜入Google Play商店的Radio Balouch应用程序

目前的情况是,Radio Balouch仍可以在其他的一些应用商店上找到,并且它的开发者正在通过一个Instagram账号对它进行推广。

包含在Instagram消息中的链接指向网站radiobalouch[.]com,它被用于充当Radio Balouch的托管服务器以及C&C服务器(目前处于关闭状态)。

此外,Radio Balouch的开发者还建立了一个YouTube频道,其中一个视频就介绍了这款APP,但播放量只有可怜的21次。

图2.Radio Balouch网站(左)、Instagram账号(中)和YouTube视频(右)

RadioBalouch功能分析

RadioBalouch适用于Android 4.2及以上版本,通过与间谍软件AhMyth捆绑在一起,它被赋予了强有力的恶意功能。

在进行安装时,Radio Balouch首先会要求用户选择首选语言(英语或波斯语),然后请求访问设备上文件的权限。对于音乐播放器来说,请求这项权限是非常合理的,因为没有它,音乐播放器就无法播放音乐。

接下来,Radio Balouch还会请求一个非常重要的权限——访问联系人列表。为了诱导用户授予它这项权限,Radio Balouch会提醒用户,如果想要和联系人列表中的朋友共享这款APP,授予它这项权限是必须的。不过,就算拒绝,Radio Balouch也能够正常运行。

图3. Radio Balouch请求访问联系人列表权限

安装完成后,你会发现Radio Balouch的音乐播放器功能非常齐全,但被赋予的恶意功能,使得它能够窃取并向C&C服务器上传联系人列表、存储在受感染设备上的文件以及短信。

此外,在打开Radio Balouch时,你首先会看到一个看似十分正常的主界面,提供了注册和登录选项。然而,“注册”选项没有任何意义,因为用户在输入账号和密码后,完成的并不是注册,而是直接进入“登录”状态。

图4. Radio Balouch的主界面(左)和设置界面(右)

ESET的研究人员表示,Radio Balouch的开发者很可能是想要通过这一步来收集用户的账号和密码。对于那些习惯于在任何地方都使用相同账号和密码的人来说,他们很有可能会成为后续“撞库”攻击的受害者。

如上所述,radiobalouch[.]com被用于充当C&C服务器。与上传的数据一样,C&C通信是通过HTTP连接以不加密的形式传输的。

图5.Radio Balouch与其C&C服务器的通信

结论

RadioBalouch以相同的外观两度潜入Google Play商店再次给谷歌安全团队敲响了警钟,除非他们能够真正提高自身的安全防护能力,否则类似于Radio Balouch这样的恶意APP或者其他捆绑了AhMyth的APP仍能够出现在GooglePlay商店上。

广大安卓用户也应该注意,并非所有来自官方应用商店的APP都是无害的,在安装任何一款APP之前,请详细查看它的描述和评论,且很有必要使用信誉良好的杀毒软件对其进行扫描。