一种新发现的Android恶意软件在复杂性和灵活性方面提升了标准，为运营人员提供了适应各种任务的能力。

网络犯罪分子目前正在对GPlayed进行测试，但恶意软件分析人员警告称，它已经成为严重的威胁。

模块化体系结构通过插件扩展其功能，无需重新编译和更新设备上的软件包即可添加插件。

功能广泛

操作人员还可以注入脚本并将.NET代码发送到受感染的Android，GPlayed编译和执行。它是使用Xamarin环境为移动应用程序构建的，并使用一个名为“eCommon”的DLL，它“包含与平台无关的支持代码和结构”。

此模型显示了进化的新步骤，代码可以从桌面平台迁移到移动平台，从而产生混合威胁。

它在设备上伪装成Play商店应用程序，使用的图标与原始图标非常相似，名称为“Google Play Marketplace”。它要求许多权限，包括“BIND_DEVICE_ADMIN”，

这使它几乎可以完全控制受感染的设备。

思科Talos的研究人员分析了GPlayed并发现了大量功能，包括间谍，数据泄露和自我管理。

除了窃取消息和联系人，拨打电话和发送短信的常规功能外，该木马还可以显示USSD消息，启动应用程序，擦除设备，添加和删除Web注入，收集支付卡信息以及设置新的锁定密码。

注入JavaScript代码也在功能列表中，使攻击者可以窃取用户在其加载的任何站点的表单字段中键入的敏感信息。

“这是一个功能齐全的特洛伊木马，其功能范围从银行木马到完整的间谍木马。这意味着恶意软件可以做任何事情，从收获用户的银行凭据到监控设备的位置，”研究人员在报告（report ）中指出。

特洛伊木马检查付款信息

一旦进入Android设备，GPlayed启动不同的计时器来启动各种任务：ping C2（命令和控制）服务器，如果关闭则启用WiFi，将设备注册到C2服务器。

它首先是向攻击者的服务器提供设备信息，例如型号、IMEI、国家或运行的Android版本。

GPlay将尝试通过请求管理员权限并要求访问设备设置来获得更多权限。这对用户来说是一个潜在的危险信号。

收集付款信息是通过打开虚假的Google付款网页来完成的，该网页要求攻击者预付费以便使用Google服务。在将信用卡信息发送给C2之前在线验证。

根据Talos分析人员的说法，他们看到了针对俄语用户的GPlayed版本，而且它可以很容易的修改为不同的语言。

其模块化使得难以创建配置文件并消除对特定恶意活动的限制。因此，它可以很容易的用作银行木马或勒索软件。