我们在研究过程中发现了一种间谍软件（被检测为ANDROIDOS_MOBSTSPY），它伪装成合法的Android应用程序并用以收集用户的隐私信息。 在2018年，这些应用程序可在Google Play上下载。在调查中我们发现，一些应用程序已被全球用户下载超过100,000次。

最初我们调查的应用程序是名为Flappy Birr Dog的游戏，如图1所示。其他应用程序包括FlashLight，HZPermis Pro Arabe，Win7imulator，Win7Launcher和Flappy Bird。 自2018年2月以来，其中的六款应用程序已被Google Play暂停使用。截至文章发布时，Google已经从Google Play中删除了相关的所有应用程序。

窃取信息

MobSTSPY能够窃取用户位置、短信对话、通话记录和剪贴板内容等信息。 它使用Firebase Cloud Messaging将信息发送到其服务器。
当恶意软件启动后，它会检查设备网络可用性。之后，它从其C＆C服务器读取并解析XML配置文件。

然后，恶意软件对某些设备信息进行收集工作，例如所使用的语言、其注册国家或地区、软件包名称、设备制造商等。图3中可以看到它窃取的所有信息的示例。

它将收集到的信息发送到C＆C服务器，从而注册相关设备。 完成此工作后，恶意软件将等待并执行通过FCM技术从C＆C服务器接收到的命令。

通过执行恶意软件收到的命令，它可以窃取SMS会话、联系人列表、文件和呼叫日志，如后续图表中的命令所示。

窃取到的SMS 会话。

窃取到的对话列表。

窃取到的通话记录。

恶意软件甚至能够窃取并上传设备文件，它只需要执行下面的命令便可以完成。

从目标目录中窃取文件。

上传文件。

网络钓鱼

除了信息窃取功能外，恶意软件还可以通过网络钓鱼攻击来收集用户的消息凭证。 它能够显示虚假的Facebook和谷歌页面，以便针对用户的帐户详细信息进行网络钓鱼。

如果用户输入他们的凭据信心，虚假弹框会弹出并表明登录失败。此时恶意软件已经窃取了用户的登录凭据。

用户分布

这个攻击事件中最有趣的部分在于其应用程序的分布范围。 通过我们的后端监控和深入研究，我们得到了受影响用户的分布情况，并发现他们来自共有196个不同的国家。

受影响的其他国家包括莫桑比克，波兰，伊朗，越南，阿尔及利亚，泰国，罗马尼亚，意大利，摩洛哥，墨西哥，马来西亚，德国，伊拉克，南非，斯里兰卡，沙特阿拉伯，菲律宾，阿根廷，柬埔寨，白俄罗斯，哈萨克斯坦，坦桑尼亚 ，可以推测，这些应用程序广泛分布在全球各地。

趋势科技解决方案

此案例表明，尽管应用程序能帮助用户解决许多问题，但用户在将其下载到设备时仍必须保持谨慎。 应用程序的普及性可以激励网络犯罪分子开发利用它们来窃取信息或者进行其他类型攻击的活动。 此外，用户还可以安装全面的网络安全解决方案，以保护其移动设备免受移动恶意软件的侵害。

趋势科技最新推出了趋势科技企业移动终端安全解决方案TMMS（TrendMicro™ Mobile Security）是在 统一管理框架内的覆盖多种智能操作系统的移动设备、系统安全性和移动应用程序管理解决方案，使组织 能够通过单个控制台管理 移动智能终端的安全性。

通过提供移动智能终端的可见性和安全控制，TMMS为IT经理采用移动智能终端的工作模式提供了安全保障，从而提高全体员工的生产力和灵活性，同时降低成本。通过强制使用密码、加密数据以及在必要时从 丢失或被盗的设备远程擦除数据，TMMS还可以将防护范围扩展到应用发布管理，从而帮助企业管理和保 护移动设备、移动应用及其包含的数据。

IOCs

本文为翻译稿件，翻译自：https://blog.trendmicro.com/trendlabs-security-intelligence/spyware-disguises-as-android-applications-on-google-play/