Google移除上百款遭植入Windows键盘侧录程式的Androidapp

安全公司Palo Alto近日发现Google Play有145个感染Windows键盘侧录执行档的app。而Google在获报后也将之移除。

这145个app中的APK档分别在不同地点感染不同名称的Windows恶意便携式执行档（Portable Executable, PE）。

Palo Alto的WildFire小组分析恶意的PE档，发现有二个特别凶猛。其中一个PE档则感染了21个APK，另一个PE档更感染了高达142个APK档，包含Google Play上的档案。后者会进行Windows键盘侧录，借此窃取用户信用卡号、社会安全号码及密码。另外，它们也采用无害的档案名称来伪装，像是Android.exe、my music.exe、gallery.exe、msn.exe、css.exe等等。

这些恶意PE档在Windows机器上的行为包括：在Windows系统资料夹中建立隐藏的可执行档，包括自我复制，然后将Windows registry改成重新开机后自动启动，之后在Windows系统上蛰伏一长段时间。搜集用户资料后，这个恶意程式会透过8829 port和87.98.185.184的IP建立连线。

Google Play上发现的问题app发布日期涵括2017年10月到2017年11月，显示存在Google Play上最少已经半年，其中不乏安装数破千或是评价四星级的app。

研究人员指出，这些感染恶意PE的APK并不会对Android 装置本身产生影响，因为它们只能在Windows机器上执行。但如果不小心在Windows PC上开启了这些APK，就会对用户产生危害。而且如果开发商未来又发布Windows版本，感染就会蔓延。

此外，研究人员警告，这显示开发人员是在被感染的Windows机器上开发出这些Android App，意谓著软件供应链出现风险。有的APK是前述二种PE档都感染，有的APK更感染了其他恶意PE档，表示开发商已经成为散布病毒的有效管道。之前的一些恶意程式如KeRanger、XcodeGhost和NotPetya都是经由感染开发商而散布。