多个应用程序以相同的方式删除数据，全部来自中国开发人员

在研究人员表明他们正在收集有关用户计算机的浏览器历史记录和信息后，趋势科技开发的多个应用程序在Mac App Store中被停用。

上周五，Apple以其完全相同的理由从其商店中删除了Adware Doctor，这是一款顶级安全应用程序。

这些应用程序是Antivirus博士，Cleaner博士和Unarchiver博士，所有这些都是在开发人员帐户Trend Micro，Incorporated下进行的。在移除之前，所有产品都是畅销产品，有数千条正面评价，平均评分在4.6到4.9之间。

2017年末，当用户PeterNopSled告诉Malwarebytes论坛成员“他的Mac被Open Any Files接管：RAR支持”时，应用程序商店中的趋势科技产品第一次公开报道参与了窃取用户信息的活动，并且它没有让他打开Word或Excel文件。

他发现该应用程序正在推广商店中的趋势科技防病毒产品，没有明显的联系。

Malwarebytes for Mac的开发人员Thomas Reed在两个应用程序之间的联系中发现有猫腻。

“Antivirus博士似乎与趋势科技有一定关联，在初步调查时，Open Any Files应用程序使用联盟代码链接到App Store上的Dr. Antivirus页面。

周六，安全研究人员Privacy_1st发布了一段视频，显示Cleaner博士和Antivirus博士从Safari，Chrome和Firefox收集浏览器历史记录以及一些系统信息。

iOS开发人员和9to5Mac创始人Guilherme Rambo发现趋势科技的Unarchiver博士也在窃取用户数据。

信息都流向趋势科技服务器

Privacy_1st查看了趋势科技的三个应用程序，发现他们使用硬编码字符串来提取用户信息。

他们从设备中收集了可用于识别的浏览器历史记录和数据。研究人员说，序列号和操作系统的版本都是详细的。

研究人员告诉我们，信息的最终目的地是trendmicro.com域，与Open Any Files应用程序相同。

观察应用程序的行为，研究人员注意到他们在运行时收到了一个包含不同代码的JSON文件，这表明应用程序从母船中检索命令以进行数据泄露。

值得注意的是，Privacy_1st分析的三个应用程序在每次启动时都没有展示数据泄露行为。此外，研究人员没有机会仔细研究这一点，但从他分析APT恶意软件的经验来看，这看起来像是一个有效的理论。

多个应用程序以相同的方式删除数据，全部来自中国开发者

Privacy_1指出，Antivirus博士，Cleaner博士和Unarchiver博士用于将用户数据上传到外部服务器的方法并不是单一的。

Adware Doctor和Komros Adware Cleaner（他们背后的开发人员），Open Any Files和Adblock Master依靠相同的技术来提升用户的信息。

这些应用程序的另一个共同点是与趋势科技和中国开发人员的连接。

这些应用程序自8月中旬以来一直向Apple报告，目前已从Mac App Store中删除。

还删除了趋势科技的开发者帐户其他产品。

趋势科技在App Store中的应用列表减少为两个条目：网络扫描仪（五个评级）和Dr. WiFi（尚未评级）。

我们联系了趋势科技，就此事发表了声明，但在发布时没有收到回复。