警告：5款新的特洛伊安卓应用程序在巴基斯坦监视用户

网络安全研究人员揭开了一项针对巴基斯坦用户的新间谍软件行动的序幕，该行动利用合法安卓应用的特洛伊木马版本进行秘密监视和间谍活动。

旨在伪装应用程序，如巴基斯坦公民波尔塔l、 一款名为巴基斯坦萨拉特时间,巴基斯坦移动包,注册模拟市民检查器和第三方物流保险，发现这些恶意变体会混淆其操作，以安卓Dalvik可执行文件（DEX）的形式秘密下载有效负载。

Sophos威胁研究人员Pankaj Kohli和Andrew Brandt说：“DEX有效载荷包含大多数恶意功能，包括能够秘密过滤敏感数据，如用户的联系人列表和短信的全部内容。”。

“然后，该应用程序将这些信息发送到位于东欧的服务器上托管的少数指挥和控制网站之一。”

有趣的是，巴基斯坦公民门户网站的假网站也以静态图像的形式在巴基斯坦贸易公司（TCP）网站上显著显示，这可能是为了诱使毫无戒备的用户下载这个带有恶意软件的应用程序。

现在，访问TCP网站（TCP.gov.pk）会显示消息“停机维护”

除了上述应用程序，Sophos研究人员还发现了一个名为Pakistan Chat的独立应用程序，该应用程序没有通过Google Play Store分发的良性模拟。但该应用被发现利用了一个名为ChatGum的合法聊天服务的API。

一旦安装，该应用程序就会请求侵入性权限，包括访问联系人、文件系统、位置、麦克风和读取短信的能力，从而可以在受害者的设备上收集大量数据。

所有这些应用程序都有一个独特的用途—；进行秘密监视并从目标设备中过滤数据。除了发送唯一的IMEI标识符外，DEX有效载荷还会传递有关手机的详细配置文件信息、位置信息、联系人列表、短信内容、通话日志以及设备上任何内部或SD卡存储的完整目录列表。

令人不安的是，恶意的巴基斯坦公民门户应用程序还传输敏感信息，如用户的计算机化国家身份证（CNIC）号码、他们的护照详细信息，以及Facebook和其他账户的用户名和密码。

Pankaj Kohli说：“这些经过修改的Android应用程序的间谍和隐蔽监视能力突显了间谍软件对各地智能手机用户的危险。”。“网络对手瞄准手机不仅是为了获取敏感和个人信息，还因为它们提供了一个实时窗口，可以了解人们的生活、他们的物理位置、移动，甚至是在受感染手机的监听范围内进行的实时对话。”

如果说有什么区别的话，开发是用户需要坚持使用可信来源下载第三方应用程序、验证应用程序是否确实由正版开发人员构建、以及在安装前仔细检查应用程序权限的另一个原因。

研究人员总结道：“在当前的安卓生态系统中，应用程序通过加密签名来证明代码来源合法，从而将应用程序与其开发人员捆绑在一起。”。“然而，当签名应用的证书不合法或无法验证时，Android无法很好地向最终用户公开。因此，用户无法轻松地知道某个应用是否确实是由其真正的开发者发布的。”

“这使得威胁参与者可以开发和发布流行应用程序的假版本。大量应用商店的存在，以及用户几乎可以在任何地方安装应用程序的自由，使得对抗此类威胁变得更加困难。”