據外媒 Security Week 報道，云安全服務商 Zscaler 稱，谷歌 Play 商店中一款 System Update（系統(tǒng)升級）的應用欺騙了用戶——本來，用戶以為這個應用可以提供 Android 軟件升級，沒想到其中暗藏惡意程序，竊聽用戶地理位置，實時發(fā)會給攻擊者，并通過短信從攻擊方接收指令。

可怕的是，雷鋒網發(fā)現(xiàn)，該應用于 2014 年在 Play 商店上架，前不久谷歌才將它下架，期間，下載量已達到100萬到500萬次。

其實，Google Play 頁面在該應用程序啟動時，本應向用戶發(fā)出警告，但是，詭異的是，顯示的卻是空白的屏幕截圖，不明就里的用戶看到空白頁面居然仍然下載并安裝。

當用戶嘗試運行安裝的應用程序時，該應用還會彈出一條消息：“更新服務已停止”。其實，此應用會在后臺開啟一項 Android 服務和廣播 receiver 讀取最后位置并掃描接收到的短信。

這個惡意程序正在尋找什么？Zscaler表示，它在尋找具有特定語法的信息，且目標信息超過 23 個字符，并應在 SMS 中包含”vova-“，它還會掃描包含“get faq”的消息。

攻擊者還可以在設備電池電量不足時，設置位置警報，并且還可以為該惡意程序設置自己的密碼。

讓雷鋒網編輯疑惑的是，為什么該惡意應用沒有被檢測出來？

Zscaler 認為，可能是在初始階段，由于其基于短信接受指令，所以在 VirusTotal 上，沒有反病毒引擎在分析時發(fā)現(xiàn)這個應用。

VirusTotal 是一個知名免費的在線病毒木馬及惡意軟件的分析服務，在被 Google 收購之后，它已成為了谷歌 Android 內置掃毒以及 Chrome 瀏覽器內建安全功能的一部分。

該應用程序最近一次更新是在 2014 年 12 月，并設法長時間避開了檢測，但仍然活躍。此外，安全研究人員還發(fā)現(xiàn)，該應用程序的代碼與幾年前發(fā)現(xiàn)的 DroidJack 特洛伊木馬的代碼一樣，也在竊取信息，最近這個木馬還被用在盜版寵物小精靈GO和超級馬里奧這兩款游戲上。

Zscaler 指出，Google Play商店中有許多應用是間諜軟件，例如，這些間諜軟件會通過 SMS 短信監(jiān)視配偶或者孩子的位置，但是這些應用程序在一開始就明確表示了它目的——它們就是當間諜用的，而不是這個報告里所說的這種應用程序。這種應用程序動機不良，它將自己偽裝成系統(tǒng)更新，誤導用戶認為他們正在下載 Android 的系統(tǒng)更新應用。

谷歌 Play 一安卓“系統(tǒng)升級”應用暗藏“間諜”，數百萬人已中招 | 雷鋒網

Google Play上假冒Android系統(tǒng)升級的惡意軟體　三年來下載次數高達百萬 - 電腦王阿達