警惕高仿Google Play应用商店传播恶意软件

越来越多的用户提高移动安全意识，选择从官方应用商店下载应用，恶意软件分发者显然也意识到了这一点，继伪装恶意应用Flappy Bird之后，最近网上已经出现一些“高仿”Google Play官方应用商店，值得广大智能手机用户和企业信息安全管理人士引起注意。以下为Trendlabs的相关研究：

用户常常会到第三方应用程序商店来下载官方商店所没有的应用程序，甚至是盗版应用程序（比如说付费软件的免费版）。而有些用户则是因为官方应用程序商店在他们所在区域无法使用，只好使用这些网站。

但是连上这些网站并不是个好主意。和Google Play相较起来，第三方应用程序不一定会严格监控被移除恶意应用程序。所以应该将来自这些第三方网站的应用程序都视为有潜在的危险，因为使用者并无法轻易地判断里面是否被加入了恶意代码。

趋势科技在前些日子讨论了一些Flappy Bird的相关威胁。在追查的过程中，我们发现有好几个第三方应用程序商店会散播或制造类似的危险行动应用程序。

这些第三方应用程序商店，将广告，甚至是恶意代码植入到热门应用程序内。这些应用程序会让用户的个人隐私陷入危险，甚至可能造成金钱上的损失 – 最近的木马化Flappy Bird应用程序会滥用加值服务来赚钱，还会连到命令和控制服务器来接收指令。

下面例子所举的模仿Google Play商店的第三方应用程序商店，包含各种木马化的知名应用程序。甚至还出现假版本的Google Play应用程序，只是它会导回自己的第三方应用程序商店。

 图一、模仿Google Play的例子

这家商店的应用程序含有额外的广告程序代码，从这些广告中所获得的利润会到网络犯罪分子身上，而非应用程序作者。会送出的数据报括用户的电话号码、电子邮件地址和设备数据。

 图二、广告资料

此外，该广告模块可以远程加载程序代码以在设备上执行，可以有效地成为一个后门。这对使用者来说是极大的危险。

 图三、后门程序代码

带有此恶意代码的应用程序被侦测为ANDROIDOS_FLEXLEAK.HBT。

其他的应用程序商店更危险 – 这间商店包含了超过500个OPFAKE恶意软件变种。有一个恶意Flappy Bird就是从这里下载而来。它们不仅包含了可能的恶意广告程序代码，同时也会滥用加值服务号码，好直接利用用户来拿到钱。

这间商店内还有成人应用程序，用户必须透过简讯付费才能使用这些应用程序。

 图四、第二个恶意第三方应用程序商店

第三个应用程序商店也带有本文所提到其他商店的类似威胁。不过它拥有更高的下载数（超过七万次下载）。

 图五、第三个恶意第三方应用程序商店

这些事件凸显出从第三方应用程序商店下载软件所可能遇到的危险。用户常常会到第三方应用程序商店来下载官方商店所没有的应用程序，甚至是盗版应用程序（比如说付费软件的免费版）。而有些用户则是因为官方应用程序商店在他们所在区域无法使用，只好使用这些网站。

但是连上这些网站并不是个好主意。和Google Play相较起来，第三方应用程序不一定会严格监控被移除恶意应用程序。所以应该将来自这些第三方网站的应用程序都视为有潜在的危险，因为使用者并无法轻易地判断里面是否被加入了恶意代码。