近期，一種新的Android惡意軟件變種Android.Fakeapp被研究人員所披露。據了解該Android惡意軟件主要目標是竊取Uber用戶的憑證信息，然后使用合法的Uber app的深層鏈接來隱瞞真相。

在分析最新的Android.Fakeapp惡意軟件變種時，一個樣本引起了我們的關注。該樣本使用了一種相當新穎和不同的技術手法，要求用戶輸入他們的信用卡詳細信息。要知道Android用戶數量在全球數以百萬計，這對于使用Uber的安卓手機用戶來說尤其值得關注！

此外經過我們進一步的分析發現，該Fakeapp變體有一個欺騙性的Uber app用戶界面（UI）,它會定期的在用戶的設備屏幕上彈出，直到用戶被誘騙輸入其Uber ID（通常是注冊的電話號碼）和密碼。

圖1為該惡意軟件彈出的假Uber app UI，用于欺騙用戶輸入其詳細信息。 一旦用戶根據提示輸入相關內容并點擊“下一步”按鈕（ –>），惡意軟件則會將用戶ID和密碼發送到其遠程服務器上。

接著，為了避免引起用戶的注意，惡意軟件會跳轉回應用程序的合法界面并顯示用戶的當前位置，這么做通常不會引起用戶的懷疑。

這也是該Fakeapp變體非常具有創造性的地方。為了顯示所述界面，惡意軟件使用合法app的深層鏈接發起app的Ride Request，將受害者的當前位置作為預加載點。

深層鏈接是將用戶直接帶到應用中特定內容的網址。Android中的深層鏈接是識別應用程序內部特定內容或功能的一種方式。

但對于應用程序來說，這像是一個web URL。例如，Uber app的Ride Request活動具有以下深層鏈接URI：

uber://?action=setPickup&pickup=my_location

圖3展示了惡意軟件的部分代碼片段，這個惡意軟件在將Uber憑證發送給其遠程服務器之后，會使用Ride Request深層鏈接URI來觸發VIEW intent。

這個案例再次表明了惡意軟件作者，正不斷的創新和改進其欺騙和竊取技術，也為我們普通用戶的移動應用安全問題再次敲響了警鐘！‘

安全建議

賽門鐵克建議用戶遵循以下最佳安全實踐，以防止移動安全威脅：

第一時間更新或升級應用程序的最新版本

避免從不熟悉的網站下載應用程序，只安裝來自可信來源的應用程序

密切關注應用程序的相關請求權限

安裝一個合適的移動安全應用程序，如Norton，以保護您的設備和數據安全

定時對重要的數據進行備份