摘要：月同時，約有百萬用戶在谷歌應(yīng)用商店里感染了惡意軟件，它隱藏在超過多個流行的游戲中，例如。近日安全研究者發(fā)現(xiàn)在第三方應(yīng)用市場和谷歌應(yīng)用商店存在上千款惡意偽裝軟件。是如何工作的首先上傳至谷歌應(yīng)用市場，偽裝成名為的通信工具。

如果你認(rèn)為在官方應(yīng)用市場里下載app就覺得安全的話，小編可以負(fù)責(zé)任的回答你：“too young too simple,sometimes native”

今年4月，BankBot 銀行木馬出現(xiàn)在谷歌Play應(yīng)用商店中，該木馬可以讓攻擊者獲得管理員權(quán)限，并執(zhí)行大量惡意任務(wù)，包括竊取銀行登錄信息。

4月同時，約有2百萬Android用戶在谷歌Play應(yīng)用商店里感染了FalseGuide 惡意軟件，它隱藏在超過40多個流行的游戲app中，例如Pokémon Go、FIFA Mobile。

上月，一款名為Xavier惡意軟件，它被發(fā)現(xiàn)在800個不同的Android app中，這些程序在谷歌Play中下載了數(shù)百萬次，并且悄無聲息的收集用戶數(shù)據(jù)。

就在昨天，阿里聚安全小編發(fā)表的《銀行劫持類病毒鼻祖BankBot再度來襲》，一批偽裝成flashlight、vides和game的BankBot惡意軟件，又出現(xiàn)在谷歌Play 官方應(yīng)用商店中。

……

然而并沒有結(jié)束，互聯(lián)網(wǎng)的世界，你或許只看到了冰山一角。

近日安全研究者發(fā)現(xiàn)在第三方應(yīng)用市場和谷歌Play應(yīng)用商店 存在上千款惡意偽裝軟件。它們可以監(jiān)視用戶行為，比如對用戶撥打電話，靜默錄音等。該惡意軟件名為SonicSpy，它偽裝成一個即時通信app，并從今年2月份開始，在各大應(yīng)用市場里瘋狂蔓延傳播，連谷歌Play都不幸中招。

執(zhí)行一大堆的惡意任務(wù)
SonicSpy間諜軟件可以執(zhí)行大量惡意任務(wù)，讓它成為一個完美的移動竊聽器。

具體功能如下：
1、靜默錄音
2、靜默撥打電話
3、劫持相機和拍照功能
4、竊取用戶數(shù)據(jù)，包括通訊記錄、聯(lián)系人信息
5、發(fā)送指定內(nèi)容的短信
6、通過WIFI接入點，追蹤用戶地址
……

該惡意軟件是由移動安全公司Lookout的研究員發(fā)現(xiàn)，并在谷歌Play 應(yīng)用市場發(fā)現(xiàn)了其他2個變種——Hulk Messenger、Troy Chat。數(shù)據(jù)顯示它們已經(jīng)被用戶下載超過上千次。雖然Soniac、Hulk Messenger、Troy Chat均已被被谷歌應(yīng)用市場下架移除，但是它們依舊活躍在其他第三方Android應(yīng)用市場。

SonicSpy是如何工作的
首先上傳至谷歌Play 應(yīng)用市場，偽裝成名為Soniac 的通信工具。（如何繞過谷歌play的殺毒引擎的技術(shù)分析，可以參考阿里聚安全的這篇文章：https://jaq.alibaba.com/commu...）

一旦安裝，Soniac 立即刪除啟動圖標(biāo)來隱藏自己，并試圖通過C＆C服務(wù)器下載修改后的app。SonicSpy 惡意軟件家族共支持73種不同的遠(yuǎn)程指令，攻擊者可以在受到SonicSpy 感染的Android設(shè)備上遠(yuǎn)程執(zhí)行惡意任務(wù)。

或和伊拉克開發(fā)者有關(guān)
研究者認(rèn)為該惡意軟件和一家伊拉克的企業(yè)有關(guān)。因為SonicSpy 的代碼和 SpyNote非常相似，而SpyNote 是一款偽裝成Netflix 的惡意app，它是由一名伊拉克黑客創(chuàng)造，在2016年7月份被發(fā)現(xiàn)。

有許多跡象表明，2款應(yīng)用來源于同一個開發(fā)者。例如家族代碼的相似性，經(jīng)常使用動態(tài)DNS服務(wù)，并運行非標(biāo)準(zhǔn)的222接口。另外最重要的證據(jù)是因為它的開發(fā)者賬號，兩者都包含Soniac 。并且上傳在谷歌應(yīng)用市場的賬號是”iraqiwebservice”。

SonicSpy 可能會再次來襲
盡管SonicSpy感染的app已經(jīng)從應(yīng)用市場里移除，但研究員警告稱，該惡意軟件家族已經(jīng)證明他們有能力在官方應(yīng)用市場里植入惡意軟件。他們可以利用不同的開發(fā)者賬號，上傳惡意軟件并隱藏在不同的app中。雖然谷歌已經(jīng)采取了很多安全措施，以防止惡意應(yīng)用通過谷歌的安全檢查，但仍有漏網(wǎng)之魚。

如何保護和預(yù)防？
對于自身為應(yīng)用市場的企業(yè)而言，如何避免惡意應(yīng)用通過自己的渠道進行分發(fā)傳播是一個嚴(yán)峻的考驗。它不僅對用戶造成損失，還進而影響分發(fā)渠道的聲譽，因此建立完善并強大的APP掃描檢測能力是非常重要的一環(huán)。

阿里聚安全提供的惡意代碼掃描能力不僅可以對已發(fā)布的巨大存量應(yīng)用，通過調(diào)用移動安全惡意代碼掃描的API接口進行定期全量掃描。還能對申請發(fā)布的APP，在上線前對其進行惡意代碼掃描，防止惡意應(yīng)用蒙混過關(guān)。

目前免費提供掃描測試，地址：https://jaq.alibaba.com/safety

對于自己研發(fā)APP的企業(yè)而言，也不要放松警惕，黑客可能會在你的原生APP中，植入惡意代碼，成功仿冒并分發(fā)到各個渠道，這同樣會對企業(yè)造成很大的損失。

作為個人用戶而言，最簡單的辦法就是確保下載的應(yīng)用來自官網(wǎng)或官方應(yīng)用市場，雖然不能完全避免中招，但是可以最大程度的降低感染幾率。最后建議下載一個手機安全防護軟件，例如錢盾app，可以有效檢測和阻止這些惡意軟件，并保持設(shè)備系統(tǒng)和app版本的更新。

內(nèi)容部分編譯自thehackernews，更多安全類熱點信息和知識分享，請關(guān)注阿里聚安全的官方博客