应用商店再成木马突破口 移动端成黑客紧盯目标

一家俄罗斯反病毒厂商Doctor Web的研究人员称，他们发现了我国某手机品牌的应用商店中190多个不同的app带有木马，据报道，该品牌应用商店中之前含有挂马的app已导致大约9,300,000次用户安装，该木马被Doctor Web检测为“Android.Cynos.7.origin”，是旨在收集敏感用户数据的Cynos恶意软件的修改版本。

据研究人员披露，攻击者将他们的恶意软件隐藏在Android应用程序中，伪装成模拟器、平台游戏、街机游戏、RTS策略以及面向俄语、中文或国际（英语）用户的射击游戏。由于这些app都提供了看上去原本应该有的功能，所以用户很难发现自己的移动设备已经中招。

来自于该品牌应用商店中含有此次披露木马的app下载量最大的三款分别是：快点躲起来（下载量2,000,000），猫冒险（427,000），驾驶学校模拟器（142,000），由于Doctor Web已通知品牌一方，并提供了已识别出的带有木马的app列表，目前这些含有木马的app已被下架删除。

研究人员表示，该Cynos木马变种的功能可以执行各种恶意活动，包括监视 SMS 文本以及下载和安装其他有效负载。Android.Cynos.7.origin是Cynos程序模块的修改之一。该模块可以集成到Android应用程序中以通过它们获利。而本次发现版本主要功能是收集有关用户及其设备的信息并显示广告。

带有木马的app攻击性从安装阶段开始就变得很明显，当它请求许可执行通常与游戏无关的权限时，例如拨打电话或检测用户位置，我们就应该多加留意了。

据报道披露，本次受带有木马的app在用户授予权限请求后，恶意软件可以将以下数据泄露到远程服务器：

●用户手机号

●基于 GPS 坐标或移动网络和 Wi-Fi 接入点数据的设备位置

●各种移动网络参数，如网络代码和移动国家代码；此外，GSM 小区 ID 和国际 GSM 位置区号

●设备的各种技术规格

●木马程序元数据中的各种参数

除上述内容外，不断迭代更新的Cynos木马程序还可能下载和安装额外的模块或应用程序、发送短信并拦截收到的短信。因此，这些应用程序可能会因订阅高级服务而产生意想不到的费用，它们还可能会投放更隐秘的间谍软件。

经过对过往类似事件的查询，我们发现从应用商店作为突破口并非个案，甚至就在前不久，研究人员发现的GriftHorse 木马就攻击影响了至少1000万台Android设备，含有木马的恶意软件使用通过谷歌官方Play商店和第三方应用商店提供的200多个木马app进行传播。

而事件本身往小了说是Android生态系统安全问题，往大了说，其实本质上还是网络世界内永不停歇的安全攻防对抗，只是因为移动端庞大的用户基数，以及移动端离用户的钱包更近，自然就成了不法黑客紧盯不放的主要目标。而类似事件也证明，以单一系统为个体的企业或组织，你的盾就算再坚固也有被戳穿的时候，因为你将面对的是技术特点、攻击手段均无法预测的攻击群体。

“从安全解决方案一则来讲，任何一家企业的安全产品或方案也不可能做到100%的安全，所以行业需要更多的建立联合互通机制，集众人之力，才能更好的应对越加复杂的安全威胁。”一位头部安全企业安全专家接受我们采访时表示。