安全公司Palo Alto近日发现Google Play有145个感染Windows键盘侧录执行文件的app。而Google在获报后也将之移除。这145个app中的APK档分别在不同地点感染不同名称的Windows恶意可携式执行档(Portable Executable, PE)。
Palo Alto的WildFire小组分析恶意的PE档,发现有二个特别凶猛。其中一个PE档则感染了21个APK,另一个PE档更感染了高达142个APK檔,包含Google Play上的档案。后者会进行Windows键盘侧录,藉此窃取用户信用卡号、社会安全号码及密码。另外,它们也采用无害的文件名来伪装,像是Android.exe、my music.exe、gallery.exe、msn.exe、css.exe等等。
这些恶意PE檔在Windows机器上的行为包括:在Windows系统文件夹中建立隐藏的可执行文件,包括自我复制,然后将Windows registry改成重新启动后自动启动,之后在Windows系统上蛰伏一长段时间。搜集用户数据后,这个恶意软件会透过8829 port和87.98.185.184的IP建立联机。
Google Play上发现的问题app发布尔日期涵括2017年10月到2017年11月,显示存在Google Play上最少已经半年,其中不乏安装数破千或是评价四星级的app。
研究人员指出,这些感染恶意PE的APK并不会对Android 装置本身产生影响,因为它们只能在Windows机器上执行。但如果不小心在Windows PC上开启了这些APK,就会对用户产生危害。而且如果开发商未来又发布Windows版本,感染就会蔓延。
此外,研究人员警告,这显示开发人员是在被感染的Windows机器上开发出这些Android App,意谓着软件供应链出现风险。有的APK是前述二种PE檔都感染,有的APK更感染了其他恶意PE档,表示开发商已经成为散布病毒的有效管道。之前的一些恶意软件如KeRanger、XcodeGhost和NotPetya都是经由感染开发商而散布。