總部位于美國加利福尼亞州紅木城的CheckPoint軟件公司的安全研究員，近日通過公司的移動威脅防御系統(tǒng)率先在Nexus 5設(shè)備上發(fā)現(xiàn)名為“Brain Test”的惡意應(yīng)用。這是款簡單的IQ測試應(yīng)用，但內(nèi)部使用了非常復(fù)雜的惡意程序標(biāo)準(zhǔn)使其通過Play商城的安全監(jiān)測，按照正常流程進(jìn)行推廣和下載安裝。目前已經(jīng)有超過100萬用戶感染，CheckPoint用戶在使用中發(fā)現(xiàn)盡管接收到惡意程序警告，但是無法卸載惡意應(yīng)用，在向公司提交報(bào)告之后引起了公司的注意。

通過對Brain Test應(yīng)用的逆向工程，科研專家發(fā)現(xiàn)了一種設(shè)計(jì)精良的惡意程序，它能夠作為正常應(yīng)用程序通過谷歌Bouncer系統(tǒng)的安全監(jiān)測，該自動應(yīng)用測試系統(tǒng)主要審查應(yīng)用是否存在已知的安全問題，在已root設(shè)備或者通過攻擊讓設(shè)備保持長期root狀態(tài)下獲得最高的系統(tǒng)權(quán)限，允許攻擊者在感染設(shè)備上安裝第三方應(yīng)用程序。

該惡意程序所包含的代碼在檢測到某些IP地址段或者包含“google”，“Android”和“1e100”等域名的時(shí)候就會自動停止運(yùn)動額，在通過Bouncer的安全監(jiān)測之后按照在用戶設(shè)備上，在首次運(yùn)行的時(shí)候會執(zhí)行一個(gè)時(shí)間炸彈功能，每隔2小時(shí)會自動執(zhí)行20秒時(shí)間，緩慢的下載和解壓必要的代碼使其獲得root權(quán)限并使用四個(gè)連鎖的漏洞。

一旦獲得root權(quán)限之后，Brain Test就能夠安裝名為“brother.apk”的應(yīng)用程序，并會不斷的檢查惡意程序是否安裝并處于root狀態(tài)，如果兩個(gè)應(yīng)用中任意一款應(yīng)用被移除，那么在每隔兩個(gè)小時(shí)就會自動進(jìn)行安裝。

CheckPoint的安全研究者在9月10日之前向谷歌報(bào)告了該惡意程序，而后者的工程師在5日之后將其下架。不過沒過幾天，該應(yīng)用再次重新上架，CheckPoint的移動威脅防御系統(tǒng)迅速發(fā)現(xiàn)并再次向谷歌進(jìn)行了報(bào)告。