谷歌证实应用商店存在间谍软件:已移除相关应用

北京时间6月14日上午消息，在北卡罗来纳州立大学的研究人员宣布发现了一种名为Plankton的Android间谍软件后，谷歌已经暂停了数款可疑应用的下载。

根据北卡罗来纳州立大学计算机教授徐贤江(Xuxian Jing，音译)的报告，这款软件体现出Android恶意软件的一次革命，它通过使用本地化加载功能进行伪装，而不会试图获取Android手机的root权限。该报告称，这是首次出现这种形式的攻击。

谷歌官方应用商店Android Market目前已经有10款应用确定被感染，但实际受影响的范围可能会更大。徐贤江表示，Plankton的早期变种早在两个月前就已经能够逃避探测。

谷歌发言人称，该公司已经采取行动，移除这些恶意应用。他说："我们意识到这一问题，并且已经暂停了多款可疑应用在Android Market中的下载。我们删除了那些违反我们政策的应用和开发者账号。"

北卡罗来纳州立大学的研究人员表示，Plankton的工作模式与寄生虫类似：依附在宿主应用上，并将其作为背景服务，而且不会对该应用原来的功能产生影响。当用户在Android手机上运行受感染的应用时，Plankton就会搜集设备ID以及一系列授权许可，并将其通过HTTP POST信息发送给远程服务器。

这个远程服务器则会返回一个网址，让设备下载可执行文件。一旦下载完毕，jar文件就可以动态加载。通过这种方式，它的有效负载就可以逃避静态分析，而且很难被探测到。

对有效负载的分析显示，这种病毒不会破解root权限，但却可以支持很多与僵尸网络相关的指令，例如搜集用户账号信息。

该研究团队是在对两款现有的Android恶意软件(DroidKungfu和YZHCSMS)进行研究时发现这种新型恶意软件的。

谷歌以往很少干涉Android Market的政策，虽然在收到恶意软件报告后，仍会移除可疑应用，但不会对这些应用进行预先审查。苹果在这方面则要严格得多，任何进驻App Store的应用都需要通过苹果认证。但随着Android用户的增长以及Android Market逐渐受到追捧，谷歌可能会改变这种方法。

谷歌发言人称，该公司拥有相应的措施来确保Android应用的安全性。该发言人说："我们致力于为用户提供安全的Android Market体验。我们的方法包括明确定义开发者必须遵守的Android Market内容政策，以及基于用户批准和应用沙盒的多层次安全模式。违反我们政策的应用都将被从Android Market中移除。"