據外媒Security Week報道，云安全服務商Zscaler稱，谷歌Play商店中一款System Update（系統升級）的應用欺騙了用戶——本來，用戶以為這個應用可以提供Android軟件升級，沒想到其中暗藏惡意程序，竊聽用戶地理位置，實時發會給攻擊者，并通過短信從攻擊方接收指令。

可怕的是，雷鋒網發現，該應用于2014年在Play商店上架，前不久谷歌才將它下架，期間，下載量已達到100萬到500萬次。

其實，Google Play頁面在該應用程序啟動時，本應向用戶發出警告，但是，詭異的是，顯示的卻是空白的屏幕截圖，不明就里的用戶看到空白頁面居然仍然下載并安裝。

當用戶嘗試運行安裝的應用程序時，該應用還會彈出一條消息：“更新服務已停止”。其實，此應用會在后臺開啟一項Android服務和廣播receiver讀取最后位置并掃描接收到的短信。

這個惡意程序正在尋找什么？Zscaler表示，它在尋找具有特定語法的信息，且目標信息超過23個字符，并應在SMS中包含”vova-“，它還會掃描包含“get faq”的消息。

攻擊者還可以在設備電池電量不足時，設置位置警報，并且還可以為該惡意程序設置自己的密碼。

讓雷鋒網編輯疑惑的是，為什么該惡意應用沒有被檢測出來？

Zscaler認為，可能是在初始階段，由于其基于短信接受指令，所以在VirusTotal上，沒有反病毒引擎在分析時發現這個應用。

VirusTotal是一個知名免費的在線病毒木馬及惡意軟件的分析服務，在被Google 收購之后，它已成為了谷歌Android 內置掃毒以及 Chrome 瀏覽器內建安全功能的一部分。

該應用程序最近一次更新是在2014年12月，并設法長時間避開了檢測，但仍然活躍。此外，安全研究人員還發現，該應用程序的代碼與幾年前發現的 DroidJack 特洛伊木馬的代碼一樣，也在竊取信息，最近這個木馬還被用在盜版寵物小精靈GO和超級馬里奧這兩款游戲上。

Zscaler 指出，Google Play商店中有許多應用是間諜軟件，例如，這些間諜軟件會通過 SMS 短信監視配偶或者孩子的位置，但是這些應用程序在一開始就明確表示了它目的——它們就是當間諜用的，而不是這個報告里所說的這種應用程序。這種應用程序動機不良，它將自己偽裝成系統更新，誤導用戶認為他們正在下載 Android 的系統更新應用。