恶意软件Grabos肆虐GooglePlay下载量超过1740万次！

美国安全软件公司 McAfee 在 Google Play 上发现有多达 144 款 App 植入了新款恶意软件“ Grabos ”，全部均为具有免费音乐下载器功能的 App 。 Grabos 的恶意代码受商业加密工具的保护，巧妙避开了 Google Play 的安全机制，更以劣质手段去提高于 Google Play 上的评价及下载量。直到 10 月为止的资料显示，被植入了 Grabos 程式码的 App 下载量超过 1,740 万次，平均评价为 4.4 星！

被植入 Grabos 的程式一览。

在被植入 Grabos 程式码的 Android App 当中，有部分是由 Grabos 的开发者所开发的恶意程式，而另一部分是他们在一些开放源码的 App 里偷偷植入恶意程式码。而 Grabos 程式码的起动方法更加非常巧妙，它会基于以下的条件来决定开启无害的音乐播放器和档案总管伪装程式，又或者开启能偷取个人资料的音乐下载器恶意程式（真正程式）。

Grabos 会根据情况而伪装成正常的音乐播放器和档案总管，或化身成会偷取个人资料的音乐下载器。

• isOnline： 检查用家是否有连接网络。
• getIsBlacklisted：当用家有打开 Android Debug Bridge 以及开发人员选项时，又或是检查该设备是否在模拟器上运作，如在模拟器上运作则会将设备记入黑名单，并开启伪装的程式。
• getIsForcedBlacklisted：由控制服务器设置的旗标

代码还有一个测试模式，去决定是否执行恶意程式。这一连串检查，可以检测出程式是否正受到动态分析，以防止隐藏程式码被执行。

真正的 Grabos 恶意程式表面上是个音乐下载器，可让用家从 YouTube 等网站上搜索歌曲，并以 MP3 或 MP4 格式下载到手机。但其实 Grabos 会加密上传它从用户手机搜集到的信息，还会检测是否安装了某些社交软件等资料。同时为了加快 Grabos 的散布，开发者还以提升下载速度作为利诱，要求用户于 Google Play 将 App 评价为 5 星并将它分享给友人，以获得更佳的服务。

初次启动会要求用户将 App 评价为 5 星。

该程式码通过与朋友分享 App 给用户来提供更快的下载。

目前植入 Grabos 的相关 App 皆以被下架，但相信 Google Play 依然有大量类似的 App 未被发现，各位 Android 用家应尽量避免下载不可信的 App 为妙。