Pokémon GO(口袋妖怪)是一款新上市的手机游戏,通过AR(增强现实)技术以及智能手机内置的定位与相机功能,玩家可以获取在真实世界中抓取口袋妖怪的体验。该游戏在今年7月6日在苹果应用市场以及安卓的Google Play同时上架,但是当天只在澳大利亚以及新西兰两个国家开放,一天后美国区也解锁。该应用的开发商称,很快在别的国家也可以玩此游戏,然而许多其他国家的口袋妖怪粉丝们都热情高涨,等不及官方正式发布的那天,十分迫切地希望尽早体验到此游戏,因而许多人开始从第三方站点寻找该应用的APK文件,而这将对他们自己的设备与信息安全造成潜在的威胁。
恶意代码制造者考虑到口袋妖怪粉丝的狂热度,以及在第三方站点寻找游戏的庞大粉丝数量,捆绑的木马的口袋妖怪版本出现已经成为必然的事情。游戏发布后的第二天,Intel移动安全研究部门的研究员报告称,他们在网上发现了一款恶意捆绑的口袋妖怪APP,该恶意APK的文件名与正规的应用文件名十分相似,他们在apkmirror.com这个第三方网站上发现此应用,不过现在已经在此网站上找不到样本了,大概已经被转移到其他网站上了。
在最新的安卓系统上安装此恶意应用时,看起来与合法的应用没有任何两样,Android会提示并不需要任何特殊的权限。
然而,当恶意应用执行时,该应用会比正常的应用申请更多的权限,其中甚至包括一些引人怀疑的权限,例如它会申请发送短信、读取短信等。
不过这些请求提示只有在Android 6.0及之后的手机版本中才会出现,在旧版本中,当用户选择安装此应用时,即代表用户已经同意并赋予了应用这些权限。一旦用户在安装阶段或者运行时给予了应用所有的权限,该游戏就会和正常应用一样正常工作,但是当设备启动或者网络连接状态发生变化时,在此应用的后台,便会开始对用户进行控制。
上图中的服务来自安卓系统的一个远控工具DroidJack(或称为SandroRAT),该远控工具通过代码注入的方式,被注入到了合法的应用之中。目前DroidJack在其官网上出售价格为210美元,且只包括一个版本,不可更新。从2014年开始,该远控工具便 在网上开始传播。尽管DroidJack官方发表声明“此产品不会被用于任何违法手段及行为”,但是在2014年八月份,便发现有人使用该工具攻击波兰的银行用户。由于该应用被用于非法活动,2015年十月,欧洲与美国的警察调查并抓获了一批DroidJack的可疑使用者。然而,从这个恶意捆梆口袋妖怪我们可以看出,该工具仍然处于活跃状态,并且在网上仍有流传。
DroidJack几乎可以在被感染的设备上做任何事情,它能窃取短信信息,通话记录,联系人列表,浏览器历史记录,获取你的地理位置,还能够远程给你的设备安装其他应用,远程执行命令,可以拍照,录音,录视频,通话录音或者发送短信。此木马应用会在后台与位于土耳其的一个IP地址通信,当口袋妖怪正在前台工作时,它会阶段性地向此IP传输报告内容。
当屏幕熄灭时,它也会做类似的事情。
在受欢迎的手机应用中注入恶意代码是诱导用户安装恶意应用的最有效的途径。虽然在病毒木马在Google Play上生存比较难,但是如果用户在第三方网站上,尤其是文件共享网站上下载并安装应用,那么被感染的机率将会大大增加。因此,就算是一个名声非常不错的网站告诉你,你可以在其上下载一个APK并安装,也最好先观望一段时间,等到官方应用正式在你的地区上市。
McAfee Mobile Security杀毒软件会将此木马标记为Android/SandroRAT,并会对手机用户发出提醒,以保护用户的数据安全。更多关于McAfee Mobile Security的信息,请访问http://www.mcafeemobilesecurity.com。