首款间谍软件潜入Google Play

ESET研究人员发现了第一个基于AhMyth开源恶意软件基础的已知间谍软件，并且已经绕过谷歌的应用程序审查程序。这个名为Radio Balouch aka RB Music的恶意应用程序实际上是Balouchi音乐爱好者的全功能流媒体广播应用程序，除了它的尾部有一个主要的刺痛 - 窃取其用户的个人数据。该应用程序悄悄进入官方Android应用程序商店两次，但在我们向公司发出警告后，谷歌迅速将其删除。

AhMyth是Radio Balouch应用程序借用其恶意功能的开源远程访问工具，于2017年底公开发布。从那时起，我们目睹了基于它的各种恶意应用程序; 然而，Radio Balouch应用程序是第一个出现在官方Android应用商店中的应用程序。

自2017年1月以来，ESET的移动安全解决方案一直在保护用户免受AhMyth及其衍生产品的侵害 - 甚至在AhMyth上市之前。由于AhMyth中的恶意功能没有被隐藏，保护或混淆，因此将Radio Balouch应用程序（以及其他衍生产品）识别为恶意软件并将其归类为属于AhMyth家族是微不足道的。

除Google Play外，ESET检测到的恶意软件为Android / Spy.Agent.AOX，已在其他应用商店中提供。此外，它还通过专用网站，Instagram和YouTube推广。我们已向各自的服务提供商报告了该活动的恶意性质，但未收到任何回复。

Radio Balouch是一个完全工作的流媒体广播应用程序，用于特定于Balouchi地区的音乐（为了保持一致性，我们遵循广告系列中使用的拼写;最常见的转录是“俾路支”或“俾路支”）。然而，在后台，该应用程序监视其受害者。

在Google Play上，我们发现了两次恶意Radio Balouch应用程序的不同版本，在每种情况下，该应用程序都安装了100多个。我们报道7月2日这个应用程序在Android官方商店的谷歌安全团队的首次亮相第二 2019，并且它在24小时内删除。

恶意Radio Balouch应用程序于2019 年7月13 日重新出现在Google Play上。这一应用程序也被ESET立即报告并迅速被谷歌删除。

图1.恶意Radio Balouch应用程序在Google Play上出现两次

从Google Play中删除后，恶意广播应用仅在撰写本文时可在第三方应用商店中使用。它还通过一个专用网站radiobalouch [。] com，通过相关Instagram帐户推广的链接发布。此服务器还用于间谍软件的C＆C通信（见下文）。该域名于2019 年3月30 日注册，在我们投诉后不久，该网站已关闭，仍处于撰写本文时。

在撰写本文时，攻击者的Instagram帐户仍然提供了已从Google Play中删除的应用程序的链接。他们还建立了一个YouTube频道，其中一个视频介绍了该应用; 显然，他们不推广它，因为在撰写本文时，视频只有21个观点。

图2. Radio Balouch网站（左），Instagram帐户（中心）和促销YouTube视频（右）

功能

恶意Radio Balouch应用适用于Android 4.2及更高版本。它的互联网广播功能与AhMyth的功能捆绑在一个恶意应用程序中。

安装后，互联网广播组件功能齐全，播放Balouchi音乐流。但是，添加的恶意功能使应用程序可以窃取联系人，收集存储在设备上的文件以及从受影响的设备发送SMS消息。

还存在用于窃取存储在设备上的SMS消息的功能。但是，由于Google最近的限制只允许默认的SMS应用访问这些消息，因此无法使用此功能。

由于AhMyth有更多功能不同的变体，Radio Balouch应用程序和基于此开源间谍工具的任何其他恶意软件可能会在未来通过更新获得更多功能。

发布后，用户选择他们的首选语言（英语或波斯语）; 在下一步中，应用程序开始请求权限。首先，它请求访问设备上的文件，这是无线电应用程序启用其功能的合法权限; 如果拒绝，收音机将无法工作。

然后，应用程序请求访问联系人的权限。在这里，为了伪装其对此权限的请求，它建议如果用户决定与其联系人列表中的朋友共享应用程序，则此功能是必需的。如果用户拒绝授予联系人权限，则该应用程序将无论如何都能正常运行。

图3. Radio Balouch应用程序的权限请求

设置完成后，应用程序将打开带有音乐选项的主屏幕，并提供注册和登录选项。但是，任何“注册”都是没有意义的，因为任何输入都会使用户进入“登录”状态，操作员的英语不好。可能已添加此步骤以吸引受害者的凭据，并尝试使用获取的密码闯入其他服务 - 提醒永远不要在服务之间重复使用密码。另请注意：凭据通过HTTP连接以未加密方式传输。

图4. Radio Balouch应用程序的Home（左）和Settings（右）屏幕

对于C＆C通信，Radio Balouch依赖于其（现已解散）radiobalouch [。] com域。这是它收集有关其受害者的信息的地方 - 特别是有关被入侵设备的信息，以及受害者的联系人列表。与帐户凭据一样，C＆C流量通过HTTP连接以未加密方式传输。

图5. Radio Balouch与其C＆C服务器的通信

结论

Google Play商店中Radio Balouch恶意软件的（重复）外观应该可以作为Google安全团队和Android用户的警钟。除非Google提高其安全防护能力，否则Radio Balouch或AhMyth的任何其他衍生产品的新克隆版本可能会出现在Google Play上。

虽然关键的安全要求“坚持使用官方应用程序来源”仍然存在，但仅凭它无法保证安全性。强烈建议用户仔细检查他们打算在其设备上安装的每个应用，并使用信誉良好的移动安全解决方案。

妥协指标（IoC）

哈希 ESET检测名称

F2000B5E26E878318E2A3E5DB2CE834B2F191D56 安卓/ Spy.Agent.AOX

AA5C1B67625EABF4BD839563BF235206FAE453EF 安卓/ Spy.Agent.AOX

转发是对我们最大的鼓励

                                                                                            点个看吧↓

原文始发于微信公众号（红数位）：首款间谍软件潜入Google Play