基于兩歲的AhMyth RAT的間諜軟件完成了Play Store的掃描

你知道，當基于開源代碼的間諜軟件設(shè)法超越谷歌的防御時，Play Store安全掃描非常糟糕，而不是一次，而是兩次。

這樣做的Android應(yīng)用程序叫做Radio Balouch，也是RB Music，一個流媒體Balouchi音樂的應(yīng)用程序，專門針對地理區(qū)域和遍布伊朗，阿富汗和巴基斯坦的人口。

網(wǎng)絡(luò)安全公司ESET表示，該應(yīng)用程序除了包含合法的無線電流組件外，還集成了AhMyth，這是一種遠程訪問工具，已經(jīng)在GitHub上作為開源項目使用了兩年多。

應(yīng)該是可以避免的

在今天發(fā)布的詳細介紹Radio Balouch功能的技術(shù)報告中，ESET表示這是第一個基于AhMyth到Play商店的蘋果應(yīng)用程序的實例，由于AhMyth的年齡和作為開源項目的可用性而應(yīng)該從未發(fā)生過的事情。 Play商店安全團隊應(yīng)該知道的。

“AhMyth中的惡意功能并未被隱藏，保護或混淆，”ESET的惡意軟件研究員Lukᚊtefanko表示，他對惡意應(yīng)用程序進行了調(diào)查。“出于這個原因，將Radio Balouch應(yīng)用程序和其他衍生產(chǎn)品識別為惡意軟件并將其歸類為屬于AhMyth家族，這一點很簡單。”

“沒有什么特別的東西被用來繞過谷歌的IP或推遲惡意功能。我認為它沒有檢測到，因為用戶首先必須設(shè)置應(yīng)用程序 - 設(shè)置語言，允許權(quán)限，通過幾個'下一步'按鈕，對于應(yīng)用程序概述，只有這樣才能啟動惡意代碼，“他告訴ZDNet。

Štefanko表示，ESET發(fā)現(xiàn)兩個惡意軟件上傳到Play商店，一個在7月2日，第二個在7月13日。兩個都在一天內(nèi)刪除，但只是在他們聯(lián)系Play商店員工之后。

雖然這兩個應(yīng)用程序從未設(shè)法獲得超過100個安裝，但問題在于，他們最終只使用未經(jīng)模糊處理的開源代碼進入Play商店。

“Google Play商店中Radio Balouch惡意軟件的(重復(fù))外觀應(yīng)該可以作為Google安全團隊和Android用戶的警鐘，”Štefanko說。

“除非谷歌提高其安全保護能力，否則Radio Balouch或AhMyth的任何其他衍生產(chǎn)品的新克隆版可能會出現(xiàn)在Google Play上，”他補充道。

谷歌沒有回復(fù)ZDNet關(guān)于這個主要Play商店安全漏洞背景的評論請求。

PLAY商店仍然比任何其他選擇更好

與此同時，惡意Radio Balouch應(yīng)用程序仍然可以通過第三方Android應(yīng)用程序商店下載。

雖然Play商店團隊這次可能失敗了用戶，但用戶應(yīng)將他們在手機上安裝的應(yīng)用限制為從Play商店獲得的應(yīng)用的建議仍然有效。

與任何其他第三方商店相比，谷歌在應(yīng)用程序安裝前后都仍然在努力掃描惡意應(yīng)用程序。

他們可能已經(jīng)掩蓋了AhMyth的偵測，但Play Store員工每年都會捕獲數(shù)十億其他威脅。

盡管如此，Štefanko還建議用戶安裝移動安全應(yīng)用程序，以確保安全，以防Google遺漏任何事情，例如在這種情況下。

由于兩個惡意應(yīng)用程序針對伊朗用戶，過去由伊朗國家贊助的團體開展的許多網(wǎng)絡(luò)間諜活動的目標，ZDNet也向Štefanko詢問Radio Balouch是否是這樣一個團體的工作。

“這也是我遇到的第一件事，但我沒有發(fā)現(xiàn)與任何伊朗或其他APT有任何聯(lián)系，”ESET研究員告訴ZDNet。