基于兩歲的AhMyth RAT的間諜軟件完成了Play Store的掃描

你知道，當(dāng)基于開(kāi)源代碼的間諜軟件設(shè)法超越谷歌的防御時(shí)，Play Store安全掃描非常糟糕，而不是一次，而是兩次。

這樣做的Android應(yīng)用程序叫做Radio Balouch，也是RB Music，一個(gè)流媒體Balouchi音樂(lè)的應(yīng)用程序，專門針對(duì)地理區(qū)域和遍布伊朗，阿富汗和巴基斯坦的人口。

網(wǎng)絡(luò)安全公司ESET表示，該應(yīng)用程序除了包含合法的無(wú)線電流組件外，還集成了AhMyth，這是一種遠(yuǎn)程訪問(wèn)工具，已經(jīng)在GitHub上作為開(kāi)源項(xiàng)目使用了兩年多。

應(yīng)該是可以避免的

在今天發(fā)布的詳細(xì)介紹Radio Balouch功能的技術(shù)報(bào)告中，ESET表示這是第一個(gè)基于AhMyth到Play商店的蘋果應(yīng)用程序的實(shí)例，由于AhMyth的年齡和作為開(kāi)源項(xiàng)目的可用性而應(yīng)該從未發(fā)生過(guò)的事情。 Play商店安全團(tuán)隊(duì)?wèi)?yīng)該知道的。

“AhMyth中的惡意功能并未被隱藏，保護(hù)或混淆，”ESET的惡意軟件研究員Lukᚊtefanko表示，他對(duì)惡意應(yīng)用程序進(jìn)行了調(diào)查。“出于這個(gè)原因，將Radio Balouch應(yīng)用程序和其他衍生產(chǎn)品識(shí)別為惡意軟件并將其歸類為屬于AhMyth家族，這一點(diǎn)很簡(jiǎn)單。”

“沒(méi)有什么特別的東西被用來(lái)繞過(guò)谷歌的IP或推遲惡意功能。我認(rèn)為它沒(méi)有檢測(cè)到，因?yàn)橛脩羰紫缺仨氃O(shè)置應(yīng)用程序 - 設(shè)置語(yǔ)言，允許權(quán)限，通過(guò)幾個(gè)'下一步'按鈕，對(duì)于應(yīng)用程序概述，只有這樣才能啟動(dòng)惡意代碼，“他告訴ZDNet。

Štefanko表示，ESET發(fā)現(xiàn)兩個(gè)惡意軟件上傳到Play商店，一個(gè)在7月2日，第二個(gè)在7月13日。兩個(gè)都在一天內(nèi)刪除，但只是在他們聯(lián)系Play商店員工之后。

雖然這兩個(gè)應(yīng)用程序從未設(shè)法獲得超過(guò)100個(gè)安裝，但問(wèn)題在于，他們最終只使用未經(jīng)模糊處理的開(kāi)源代碼進(jìn)入Play商店。

“Google Play商店中Radio Balouch惡意軟件的(重復(fù))外觀應(yīng)該可以作為Google安全團(tuán)隊(duì)和Android用戶的警鐘，”Štefanko說(shuō)。

“除非谷歌提高其安全保護(hù)能力，否則Radio Balouch或AhMyth的任何其他衍生產(chǎn)品的新克隆版可能會(huì)出現(xiàn)在Google Play上，”他補(bǔ)充道。

谷歌沒(méi)有回復(fù)ZDNet關(guān)于這個(gè)主要Play商店安全漏洞背景的評(píng)論請(qǐng)求。

PLAY商店仍然比任何其他選擇更好

與此同時(shí)，惡意Radio Balouch應(yīng)用程序仍然可以通過(guò)第三方Android應(yīng)用程序商店下載。

雖然Play商店團(tuán)隊(duì)這次可能失敗了用戶，但用戶應(yīng)將他們?cè)谑謾C(jī)上安裝的應(yīng)用限制為從Play商店獲得的應(yīng)用的建議仍然有效。

與任何其他第三方商店相比，谷歌在應(yīng)用程序安裝前后都仍然在努力掃描惡意應(yīng)用程序。

他們可能已經(jīng)掩蓋了AhMyth的偵測(cè)，但Play Store員工每年都會(huì)捕獲數(shù)十億其他威脅。

盡管如此，Štefanko還建議用戶安裝移動(dòng)安全應(yīng)用程序，以確保安全，以防Google遺漏任何事情，例如在這種情況下。

由于兩個(gè)惡意應(yīng)用程序針對(duì)伊朗用戶，過(guò)去由伊朗國(guó)家贊助的團(tuán)體開(kāi)展的許多網(wǎng)絡(luò)間諜活動(dòng)的目標(biāo)，ZDNet也向Štefanko詢問(wèn)Radio Balouch是否是這樣一個(gè)團(tuán)體的工作。

“這也是我遇到的第一件事，但我沒(méi)有發(fā)現(xiàn)與任何伊朗或其他APT有任何聯(lián)系，”ESET研究員告訴ZDNet。