据安全公司卡巴斯基报告,专业黑客组织至少从 2016 年就潜入到 Google Play,利用官方应用商店传播具有后门功能的恶意程序,悄悄窃取用户的敏感信息。 卡巴斯基识别了 8 个可上溯到 2018 年的应用,存档搜索和其它方法显示黑客组织至少从 2016 年起就潜入了 Google Play。
Google Play(图片来源:HackRead)
恶意程序使用的指令控制服务器域名是在 2015 年注册的,代码和指令控制服务器与黑客组织 OceanLotus (aka APT32、APT-C-00 和 SeaLotus)有关联,因此研究人员相信这些恶意程序是专业黑客组织的作品。
攻击者利用了多种方法避开 Google 的安全检查。一种方法是最初被接受的版本没有恶意功能,但后续的更新加入了后门。甚至最初的版本不需要权限,但利用隐藏的代码索要权限。Google 在收到报告之后已将这些应用移除。