在北卡罗来纳州立大学的研究人员宣布发现了一种名为Plankton的Android间谍软件后,谷歌已经暂停了数款可疑应用的下载。
根据北卡罗来纳州立大学计算机教授徐贤江(Xuxian Jing,音译)的报告,这款软件体现出Android恶意软件的一次革命,它通过使用本地化加载功能进行伪装,而不会试图获取Android手机的root权限。该报告称,这是首次出现这种形式的攻击。
谷歌官方应用商店Android Market目前已经有10款应用确定被感染,但实际受影响的范围可能会更大。徐贤江表示,Plankton的早期变种早在两个月前就已经能够逃避探测。
谷歌发言人称,该公司已经采取行动,移除这些恶意应用。他说:“我们意识到这一问题,并且已经暂停了多款可疑应用在Android Market中的下载。我们删除了那些违反我们政策的应用和开发者账号。”
北卡罗来纳州立大学的研究人员表示,Plankton的工作模式与寄生虫类似:依附在宿主应用上,并将其作为背景服务,而且不会对该应用原来的功能产生影响。当用户在Android手机上运行受感染的应用时,Plankton就会搜集设备ID以及一系列授权许可,并将其通过HTTP POST信息发送给远程服务器。
这个远程服务器则会返回一个网址,让设备下载可执行文件。一旦下载完毕,jar文件就可以动态加载。通过这种方式,它的有效负载就可以逃避静态分析,而且很难被探测到。
对有效负载的分析显示,这种病毒不会破解root权限,但却可以支持很多与僵尸网络相关的指令,例如搜集用户账号信息。
该研究团队是在对两款现有的Android恶意软件(DroidKungfu和YZHCSMS)进行研究时发现这种新型恶意软件的。
谷歌以往很少干涉Android Market的政策,虽然在收到恶意软件报告后,仍会移除可疑应用,但不会对这些应用进行预先审查。苹果在这方面则要严格得多,任何进驻App Store的应用都需要通过苹果认证。但随着Android用户的增长以及Android Market逐渐受到追捧,谷歌可能会改变这种方法。
谷歌发言人称,该公司拥有相应的措施来确保Android应用的安全性。该发言人说:“我们致力于为用户提供安全的Android Market体验。我们的方法包括明确定义开发者必须遵守的Android Market内容政策,以及基于用户批准和应用沙盒的多层次安全模式。违反我们政策的应用都将被从Android Market中移除。”
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。