安全研究机构 ESET 首次发现了开源 Android 间谍软件在 Google Play  上的恶意信息窃取行为,并且在被删除后仍在Google Play 重复出现。据悉,第一个间谍软件是基于开源间谍工具 AhMyth 潜伏在 Google Play 上某广播应用程序中的间谍软件实例。该应用程序是 Radio Balouch,检测为 Android / Spy.Agent.AOX。

表面上看,Radio Balouch 是一个互联网广播应用程序,然而由 ESET 研究员 Lukas Stefanko 领导的调查小组发现,该应用程序是为了监视下载它的人而设计的。

虽然该应用中的确有诸如 suroz 和 benju 等歌手的歌曲播放区,但隐藏在应用程序中的间谍软件却开始窃取联系信息并收集存储在受影响设备上的文件。

ESET 向 Google 发送了一份报告,详细说明了其发现。谷歌的安全团队在 24 小时内删除了 Radio Balouch 恶意应用程序,但 10 天后,原始开发者已将其重新发布到 Google Play 上。

开源Android 恶意软件Radio Balouch-LMLPHP

Stefanko 说:“我们还检测并报告了此恶意软件的第二个实例,然后发现谷歌再次迅速将其删除。然而,谷歌允许同一个开发人员反复向商店发布这种明显的恶意软件这一事实令人不安。“

Radio Balouch 应用程序于 7 月 2 日首次出现在 Google Play 上。删除后它于 7 月 13 日再次上线,并再次迅速删除。据悉,该应用程序每次在 Google Play 上发布时都会被超过 100 人安装。

Radio Balouch 可能是第一个包含开源 Android 间谍软件的应用程序,并且具备不局限与 Google Play 的的上线能力,但它不太可能是最后一个。从应用程序移除后返回 Google Play 的难易程度来看,Google 可能希望采取一些更严格的安全措施。

“除非谷歌提高其安全保护能力,否则 Radio Balouch 或 AhMyth 的任何其他衍生产品的新克隆版可能很快会出现在 Google Play 上,”Stefanko 说。

Radio Balouch 可能已经被 Google Play 结束了其监控行为,但它仍可在其他应用程序商店中使用。

ESET 表示:“它已在专用网站、Instagram 和 YouTube 上推广。我们已向各自的服务提供商报告了该活动的恶意性质,但均未收到任何回应。”

05-18 09:53