由于惡意的廣告SDK(軟件開發(fā)工具包)的植入，超過(guò)500個(gè)安卓應(yīng)用程序可能已被用于秘密植入間諜軟件，從Google Play商店共集中下載超過(guò)1億次。

應(yīng)用程序開發(fā)人員不知道，這些惡意的廣告SDK包含了從其用戶產(chǎn)品中竊取數(shù)據(jù)的代碼。

　　▲一些以前包含惡意軟件的應(yīng)用程序——但現(xiàn)在已經(jīng)清除了

圖片：Outlook

然而，Lookout的安全研究人員發(fā)現(xiàn)許多應(yīng)用程序開發(fā)人員無(wú)意中部署了一個(gè)名為Igexin的流氓SDK，可以利用它來(lái)進(jìn)行惡意活動(dòng)。

Google已經(jīng)明確了Igexin的破壞性，所有受到攻擊的應(yīng)用程序現(xiàn)已從Play Store中刪除，它們被替換成新的干凈的版本。

研究人員在Google Play上提供了以前感染過(guò)的應(yīng)用程序的兩個(gè)具體例子：一個(gè)名為SelfieCity的攝影應(yīng)用程序，下載量超過(guò)五百萬(wàn)次;還有一個(gè)名為L(zhǎng)uckyCash的應(yīng)用程序，已下載了超過(guò)一百萬(wàn)次。Lookout已經(jīng)確認(rèn)，這些應(yīng)用程序最先受到感染。

其他受感染的應(yīng)用程序(未單獨(dú)識(shí)別的)包括針對(duì)青少年的游戲，超過(guò)5000萬(wàn)次下載;還有一個(gè)天氣應(yīng)用程序和一個(gè)照片應(yīng)用程序，下載量在一百萬(wàn)到五百萬(wàn)之間;以及一個(gè)互聯(lián)網(wǎng)廣播應(yīng)用程序有五十萬(wàn)和一百萬(wàn)的下載。

從Google Play商店下載的各種其他應(yīng)用程序，包括教育、健康和健身、旅游、表情符號(hào)和家庭攝像機(jī)等，也被發(fā)現(xiàn)已竟被植入間諜軟件。

最終，這些受感染的應(yīng)用程序有可能將超過(guò)1億部安卓手機(jī)變成惡意的間諜設(shè)備，使用戶的隱私受到極大威脅。

來(lái)自中國(guó)的Igexin推廣聲稱利用數(shù)據(jù)提供的信息，例如興趣、職業(yè)、收入和位置等，有利于廣告的推廣。

　　▲翻譯成英文版本的Igexin網(wǎng)站，提供廣告服務(wù)。圖片：Outlook

Lookout研究人員在審查已知有分布式惡意軟件的IP地址和服務(wù)器通信的其他應(yīng)用程序時(shí)，開始調(diào)查Igexin。他們發(fā)現(xiàn)許多應(yīng)用程序的請(qǐng)求都是由Igexin ad SDK使用的端點(diǎn)進(jìn)行的。

這是一個(gè)警報(bào)，因?yàn)檫@種流量通常由惡意軟件分銷商使用，惡意軟件分銷商專門將其惡意的有效內(nèi)容隱藏在似乎合法的應(yīng)用中。

應(yīng)用程序開發(fā)人員將不會(huì)意識(shí)到SDK濫用數(shù)據(jù)收集的應(yīng)用程序權(quán)限：此功能并不明顯，惡意代碼背后的人員可隨時(shí)更改。

Igexin代碼中發(fā)現(xiàn)的最多的惡意功能是日志過(guò)濾，可能使?jié)撛谕{能夠利用各種用戶數(shù)據(jù)進(jìn)行隱藏。這些應(yīng)用程序也使用了PhoneStateListener，這是Android應(yīng)用程序開發(fā)人員工具中的合法工具，但是能夠記錄有關(guān)呼叫的詳細(xì)信息。受感染的應(yīng)用程序沒有指示他們可以注冊(cè)呼叫次數(shù)和使用的號(hào)碼。

盡管許多應(yīng)用程序已被刪除，但絕大多數(shù)下載了這些危險(xiǎn)應(yīng)用程序的用戶也不太可能知道他們有可能面臨風(fēng)險(xiǎn)，因?yàn)閼?yīng)用程序缺乏任何召回措施——用戶必須要遵循說(shuō)明更新應(yīng)用程序才行了。

雖然Google保留了其14億安卓用戶中絕大多數(shù)安全的惡意軟件，惡意應(yīng)用程序仍然經(jīng)常進(jìn)入官方商店，惡意應(yīng)用程序通常采用各種混淆技術(shù)來(lái)避免安全檢查。

原文地址：http://www.zdnet.com/article/500-android-apps-found-to-secretly-contain-data-stealing-spyware/

作者：Danny Palmer