基于两岁的AhMyth RAT的间谍软件完成了Play Store的扫描

你知道，当基于开源代码的间谍软件设法超越谷歌的防御时，Play Store安全扫描非常糟糕，而不是一次，而是两次。

这样做的Android应用程序叫做Radio Balouch，也是RB Music，一个流媒体Balouchi音乐的应用程序，专门针对地理区域和遍布伊朗，阿富汗和巴基斯坦的人口。

网络安全公司ESET表示，该应用程序除了包含合法的无线电流组件外，还集成了AhMyth，这是一种远程访问工具，已经在GitHub上作为开源项目使用了两年多。

应该是可以避免的

在今天发布的详细介绍Radio Balouch功能的技术报告中，ESET表示这是第一个基于AhMyth到Play商店的苹果应用程序的实例，由于AhMyth的年龄和作为开源项目的可用性而应该从未发生过的事情。 Play商店安全团队应该知道的。

“AhMyth中的恶意功能并未被隐藏，保护或混淆，”ESET的恶意软件研究员Lukᚊtefanko表示，他对恶意应用程序进行了调查。“出于这个原因，将Radio Balouch应用程序和其他衍生产品识别为恶意软件并将其归类为属于AhMyth家族，这一点很简单。”

“没有什么特别的东西被用来绕过谷歌的IP或推迟恶意功能。我认为它没有检测到，因为用户首先必须设置应用程序 - 设置语言，允许权限，通过几个'下一步'按钮，对于应用程序概述，只有这样才能启动恶意代码，“他告诉ZDNet。

Štefanko表示，ESET发现两个恶意软件上传到Play商店，一个在7月2日，第二个在7月13日。两个都在一天内删除，但只是在他们联系Play商店员工之后。

虽然这两个应用程序从未设法获得超过100个安装，但问题在于，他们最终只使用未经模糊处理的开源代码进入Play商店。

“Google Play商店中Radio Balouch恶意软件的(重复)外观应该可以作为Google安全团队和Android用户的警钟，”Štefanko说。

“除非谷歌提高其安全保护能力，否则Radio Balouch或AhMyth的任何其他衍生产品的新克隆版可能会出现在Google Play上，”他补充道。

谷歌没有回复ZDNet关于这个主要Play商店安全漏洞背景的评论请求。

PLAY商店仍然比任何其他选择更好

与此同时，恶意Radio Balouch应用程序仍然可以通过第三方Android应用程序商店下载。

虽然Play商店团队这次可能失败了用户，但用户应将他们在手机上安装的应用限制为从Play商店获得的应用的建议仍然有效。

与任何其他第三方商店相比，谷歌在应用程序安装前后都仍然在努力扫描恶意应用程序。

他们可能已经掩盖了AhMyth的侦测，但Play Store员工每年都会捕获数十亿其他威胁。

尽管如此，Štefanko还建议用户安装移动安全应用程序，以确保安全，以防Google遗漏任何事情，例如在这种情况下。

由于两个恶意应用程序针对伊朗用户，过去由伊朗国家赞助的团体开展的许多网络间谍活动的目标，ZDNet也向Štefanko询问Radio Balouch是否是这样一个团体的工作。

“这也是我遇到的第一件事，但我没有发现与任何伊朗或其他APT有任何联系，”ESET研究员告诉ZDNet。