隐藏的危险：应用程序每15秒泄露位置

尽管谷歌保护Android的官方市场，但网络犯罪分子仍然设法偷偷进入银行特洛伊木马，被几个安全研究人员发现。

最近，来自欧洲不同安全公司的安全研究人员在Twitter上透露他们在Google Play中发现了几个银行特洛伊木马。

ESET反病毒软件供应商的Lukas Stefanko发现了三个这样的恶意应用程序，它们构成占星术软件。然而，他们真正的目的是盗窃短信和通话记录，以受害者的名义发送短信，在未经用户批准的情况下下载和安装应用，以及窃取银行凭证。

远离这些应用程序！ 在Google Play上发现了三个超过1500多个安装量的银行特洛伊木马。 它们是具有入侵能力的遥控机器人。 功能： -steal短信，callLogs -发送短信 -下载和安装应用程序 -steal银行凭证pic.twitter.com/K1MAlyoyyp - Lukas Stefanko（@LukasStefanko），2018年9月3日

在发布他的调查结果之前，Stefanko报告了谷歌的攻击性条目，谷歌从商店引导他们; 但到删除时，其中一个已被下载超过1,000次，超过500个用户已将其他两个添加到他们的Android设备。

Stefanko在其名为Herobot的代码中注意到的一个恶意应用程序显示了一个虚假的警告，说它不兼容并因此被删除。

恶意软件保留在设备上并在后台执行，根据设备上的应用程序请求银行信息。恶意软件研究人员说，命令和控制（C2）服务器在发布推文时仍然存在。

很重要的一点是Stefanko发现的所有三个特洛伊木马都具有低检测率。在撰写本文时，VirusTotal上检测率最高的恶意软件被60种防病毒产品中的12种识别出来; 对于检测最少的一个，只有六个看到了它的真实属性。

在过去的几天里，Stefanko并不是唯一一个在官方Android市场上报道银行特洛伊木马的人。8月29日，Avast的Nikolaos Chrysaidos在Twitter上分享了有关自本月初以来分发了同类恶意软件的广告系列的详细信息。

他发现了多达五个的银行特洛伊木马，这些特洛伊木马都伪装成改善移动设备性能的应用程序。

疑难杂症！更多#Android #Banker恶意软件（5+）在@GooglePlay商店中出现。此活动于8月的第一天开始。 -报告 - “加盖”与谷歌的新结霜安全的元数据 -发现@apklabio pic.twitter.com/j2GviNA0dW - Nikolaos Chrysaidos（@virqdroid）2018年8月29日

还有其他危险潜伏着

银行特洛伊木马可能是恶意软件类型之一，促使Android商店策展人采取紧急行动，但它们肯定不是Google Play中唯一的威胁。

Stefanko提供了其他应用程序的示例，这些应用程序公然影响用户的隐私，广告软件，间谍软件和跟踪软件，其中一些迄今为止已有数千万次安装。

研究人员指出了一个名为Protect Your Data的应用程序，这是一个提供VPN服务的应用程序，安装量超过1000万。根据Stefanko的说法，应用程序收集它，而不是隐藏流量，如其描述中所述。

Android合法间谍软件，安装量为10M +。 App #Onavo由Facebook拥有，是收集您的VPN服务： - 移动流量 - 位置 - 安装/打开的应用程序 - 访问过的网站 此应用程序应隐藏您的流量并增加隐私，而不是收集它。pic.twitter.com/gvhYDhphk2 - Luke Stefanco（@LuksStefanko），2018年8月31日

在另一个案例中，一个应用程序承诺将您设备上的随机存取内存（RAM）增加到令人难以置信的128GB。如果来自商店的数据是正确的，超过100,000人陷入了骗局。

如果128GB还不够，你可以更高。8,000GB怎么样？该描述违背了开发人员的目的，但似乎还是有50,000名用户被欺骗。

这些应用程序的目的可能不一定会对用户造成伤害，因为其中一些应用程序只是清理设备上累积的缓存数据并终止后台应用程序，但它们显然不会“提供符合用户期望的体验”，谷歌的垃圾邮件和最低功能政策。

应用程序每15秒泄漏一次定位

Stefanko的另一个例子是“透明时钟和天气”应用程序，它每15秒以明文形式泄漏用户位置。

虽然分析表明应用程序的开发人员没有主动收集经度和纬度信息，但访问数据的攻击者可以了解用户的一举一动。

两位研究人员一起努力向谷歌展示俄罗斯安全公司Dr. Web的研究人员需要从商店中删除的内容。他们最近分享了127个攻击性应用程序的发现，总共超过10,000次下载; 所有这些软件都被从商店中删除。

BleepingComputer向Google发出了关于其Android商店中发现的银行特洛伊木马发现的声明，但在发布时就做了回复。