总部位于美国加利福尼亚州红木城的CheckPoint软件公司的安全研究员,近日通过公司的移动威胁防御系统率先在Nexus 5设备上发现名为“Brain Test”的恶意应用。这是款简单的IQ测试应用,但内部使用了非常复杂的恶意程序标准使其通过Play商城的安全监测,按照正常流程进行推广和下载安 装。目前已经有超过100万用户感染,CheckPoint用户在使用中发现尽管接收到恶意程序警告,但是无法卸载恶意应用,在向公司提交报告之后引起了公司的注意。 通过对Brain Test应用的逆向工程,科研专家发现了一种设计精良的恶意程序,它能够作为正常应用程序通过谷歌Bouncer系统的安全监测,该自动应用测试系统主要审查应用是否存在已知的安全问题,在已root设备甚至可将设备处于长期root状态下获得最高的权限,允许攻击者在感染设备上安装第三方应用程序。 该恶意程序所包含的代码在检测到某些IP地址段或者包含“google”,“Android”和“1e100”等域名的时候就会自动停止运动额,在通过Bouncer的安全监测之后按照在用户设备上,在首次运行的时候会执行一个时间炸弹功能,每隔2小时会自动执行20秒时间,缓慢的下载和解压必要的代码使其获得root权限并使用四个连锁的漏洞。 一旦获得root权限之后,Brain Test就能够安装名为“brother.apk”的应用程序,并会不断的检查恶意程序是否安装并处于root状态,如果两个应用中任意一款应用被移除,那么在每隔两个小时就会自动进行安装。 CheckPoint的安全研究者在9月10日之前向谷歌报告了该恶意程序,而后者的工程师在5日之后将其下架。不过没过几天,该应用再次重新上架,CheckPoint的移动威胁防御系统迅速发现并再次向谷歌进行了报告。
