安全研究机构ESET首次发现了开源Android间谍软件在Google Play上的恶意信息窃取行为,并且在被删除后仍在GooglePlay重复出现。据悉,第一个间谍软件是基于开源间谍工具AhMyth潜伏在Google Play上某广播应用程序中的间谍软件实例。该应用程序是Radio Balouch,检测为Android / Spy.Agent.AOX。
表面上看,Radio Balouch是一个互联网广播应用程序,然而由ESET研究员Lukas Stefanko领导的调查小组发现,该应用程序是为了监视下载它的人而设计的。
虽然该应用中的确有诸如suroz和benju等歌手的歌曲播放区,但隐藏在应用程序中的间谍软件却开始窃取联系信息并收集存储在受影响设备上的文件。
ESET向Google发送了一份报告,详细说明了其发现。谷歌的安全团队在24小时内删除了恶意Radio Balouch应用程序,但10天后,原始开发者已将其重新发布到Google Play上。
Stefanko说:“我们还检测并报告了此恶意软件的第二个实例,然后发现谷歌再次迅速将其删除。然而,谷歌允许同一个开发人员反复向商店发布这种明显的恶意软件这一事实令人不安。“
Radio Balouch应用程序于7月2日首次出现在Google Play上。删除后它于7月13日再次上线,并再次迅速删除。据悉,该应用程序每次在Google Play上发布时都会被超过100人安装。
Radio Balouch可能是第一个包含开源Android间谍软件的应用程序,并且具备不局限与Google Play的的上线能力,但它不太可能是最后一个。从应用程序移除后返回Google Play的难易程度来看,Google可能希望采取一些更严格的安全措施。
“除非谷歌提高其安全保护能力,否则Radio Balouch或AhMyth的任何其他衍生产品的新克隆版可能很快会出现在Google Play上,”Stefanko说。
Radio Balouch可能已经被Google Play结束了其监控行为,但它仍可在其他应用程序商店中使用。
ESET表示:“它已在专用网站,Instagram和YouTube上推广。我们已向各自的服务提供商报告了该活动的恶意性质,但均未收到任何回应。”