虚假安全应用针对日本用户进行窃密

McAfee 的安全研究人员发现了针对日本 NTT DOCOMO 用户的新型恶意软件。该恶意软件伪装成合法的移动安全应用程序，在 Google Play 商店中进行分发。应用程序名为 スマホ安心セキュリティ或 Smartphone Anshin Security实际上该恶意软件是针对 NTT DOCOMO 移动支付用户进密码盗窃与支付欺诈的。应用程序程序包名为 com.z.cloud.px.app与 com.z.px.appx，MaAfee 已经告知 Google 下架处理。

诱导安装

攻击者使用各种开发者账户在 Google Play 中发布恶意应用程序。雅虎的安全研究员 Yusuke Osumi 最早发现攻击者从海外发送带有 Google Play 链接的短信，引诱用户安装恶意程序。

【来自法国的短信】

【Google Play 上的恶意软件】

攻击者还使用 Google Drive 来分发恶意软件，这一方式安装 APK 文件不会留下任何痕迹，而且安装过程更为简单。如果用户此前允许通过 Google Drive 来安装未知应用程序，只需要点击三次即可完成安装。

【跳转安装页面】

恶意软件本身

当 NTT DOCOMO 用户安装并启动此恶意软件时，会要求提供网络密码。恶意软件甚至会提示要求输入正确的密码，密码实际是否正确并不重要，这只是一种窃密的方式。

【询问网络密码】

网络密码可以用于 NTT DOCOMO 的在线支付，只需要输入四位密码即可将费用计入手机账单。

【界面对比】

获取密码后，恶意软件会显示虚假的移动安全状态。界面显示与旧版 McAfee Mobile Security 十分类似，但是所有的按钮其实都是假的，并不具备相关功能。

技术分析

该恶意软件使用 Golang 编写，在执行期间加载了一个名为 libmyapp.so的库，该库在加载时会尝试使用 Web Socket 连接到 C&C 服务器。建立连接后，恶意软件会回传网络信息以及电话号码并接受如下控制：

RPC 函数名	描述
connect_to	创建反向代理
disconnect	断开反向代理
get_status	获取反向代理状态
get_info	获取相关信息
toggle_wifi	设置 Wi-Fi 开/关
show_battery_opt	关闭后台电池优化