恶意软件跳过安全检查进入Google Play 已经不是什么新鲜事了，但是官方商店中某些恶意程序在被发现前已经影响百万用户仍旧让人大吃一惊。

接下来就说下最近在应用商店发现的两个恶意案列。一个叫CallJam，CallJam在发现时已经有10000~50000的安装量；另一个叫DressCode,在Google Play里有40款app里面存在DressCode。有些app的安装量达到了10000~50000。总的来说，大约有250万用户下载了这些app。

CallJam可自动拨打电话

CallJam里有一个额外的拨号器，可用来拨打欺诈电话，并且还有一个网络数据管理工具adnet，用以准确的向受害者推广广告。从今年5月份开始，CallJam就隐藏在Google Play新上线的Gems Chest游戏中，目前已经感染了将近50万台设备。

CallJam 在拨打虚假电话之前，攻击者需要得到用户拨打电话的权限，但是Check Point的研究人员称大部分用户自愿授权了，而且他们大部分都没有阅读授权内容。

该恶意软件的C&C服务器提供了需要拨打电话的号码和通话时长，接下来CallJam就会用这些参数开始拨打电话了。这个软件还可以重定向受害者到含有虚假广告的网站。

研究人员称：

由于Gems Chest这款游戏的一些欺骗行为也使得这款游戏获得了较高的评分。用户安装游戏时进行评分会得到额外的游戏奖励。黑客们开发了一款声誉较好的app，并且推广到了官方商店，这对设备和数据来说是很危险的，所以这次事件也为我们敲响了一记警钟。

DressCode与CallJem的不同之处

DressCode恶意软件的故事和CallJem截然不同。感染DressCode 的设备会被利用于僵尸网络，比方说产生广告点击量和产生虚假的流量。研究人员发现在Google Play上的40个app中都包含这种代码，而在其他第三方应用商店里有400多个app也包含这种代码。

Google Play 上的app被发现含有DressCode时已经有50000~200000的用户，官方人员称发现这种恶意软件后已经下架了一些app。

当DressCode被安装在设备上时，它会随之和其C&C服务器进行通信，让恶意软件进入休眠状态。大部分时候，攻击者会创建一个大型的僵尸网络，然后实施恶意目的，比如将被感染的设备转换成socks协议，更改通信路径等。

DressCode和年前发现的Viking Horde很相似。Viking Horde制造的僵尸网络非常强大，有多种用途，甚至能渗入内部网络。黑客们渗入内部网络这事对企业和组织的安全来说是一种威胁。