*严正声明：本文仅限于技术讨论与分享，严禁用于非法途径

研究人员发现了第一个已知的间谍软件，它建立在Ahmyth开源恶意软件的基础上，并绕过了谷歌的应用审查过程。这个恶意的应用程序叫做RadioBalouch，又称RBMusic，实际上是一个为Balouchi音乐爱好者提供的流媒体应用程序，而它的关键在于窃取用户的个人数据。该应用两次悄悄地进入了Android官方应用商店，但在我们向谷歌发出警告后，都被谷歌迅速删除。

综述

Ahmyth是一个开源的远程访问工具，Radio Balouch借用了它的恶意功能，该工具于2017年底公开发布。从那以后，我们已经看到了基于它的各种恶意应用程序；但是，Radio Balouch应用程序是第一个出现在官方Android应用程序商店中的应用程序。Radio Balouch是一款针对特定于Balouchi音乐的全功能流媒体广播应用程序

由于Ahmyth中的恶意功能没有被隐藏、保护或混淆，因此将Radio Balouch应用程序（以及其他衍生产品）识别为恶意并将其归类为属于Ahmyth家族是很简单的。

在google play上，我们发现了两次不同版本的恶意的Radio balouch应用程序的，每一次该应用程序都被安装了100多此。我们于2019年7月2日向谷歌安全团队报告了该应用程序首次出现在Android官方商店，并在24小时内被删除。

Radio Balouch恶意应用程序于2019年7月13日重新出现在Google Play上。这一应用程序也被ESET立即报告并迅速被谷歌删除。

从Google Play中删除后，恶意应用程序仅在第三方应用程序商店中可用。它还通过相关Instagram帐户推广的链接从专用网站radiobalouch[.]com传播。该服务器还用于间谍软件的C&C通信（见下文）。该域名于2019年3月30日注册，在我们投诉后不久，该网站就关闭了。

目前攻击者的Instagram帐户仍然提供一个指向已从Google Play中删除的应用程序的链接。他们还建立了一个YouTube频道，其中一个视频介绍了这个应用程序，因为视频目前只有21浏览量。

功能

恶意的Radio Balouch应用程序可在Android 4.2及更高版本上运行。它的互联网多媒体功能与Ahmyth的功能捆绑在一个恶意应用程序中。

在安装后，互联网多媒体组件功能齐全，播放一段Balouchi音乐。但是，添加的恶意功能使应用程序能够窃取联系人、获取存储在设备上的文件并从被感染的设备发送短信。

恶意软件还提有窃取存储在设备上的短信的功能。但是，由于谷歌最近的限制只允许默认的短信应用程序访问这些信息，因此无法使用此功能。

由于Ahmyth有更多的功能的变体，因此Radio Balouch应用程序和基于此开源间谍工具的任何其他恶意软件将来可能通过更新获得更多功能。

启动后，用户选择自己喜欢的语言（英语或波斯语）；在下一步中，应用程序开始请求权限。首先，它请求访问设备上的文件，这是多媒体应用程序启用其功能的合法权限；如果拒绝，多媒体将无法工作。

然后，应用程序请求访问联系人的权限。如果用户拒绝授予联系人权限，应用程序将继续工作。

设置完成后，应用程序将打开带有音乐选项的主屏幕，并提供注册和登录选项。然而，任何“注册”都是毫无意义的，因为任何输入都会使用户进入“登录”状态，这一步是为了吸引受害者的凭据，并尝试使用获得的密码入侵其他服务，这提醒人们不要在服务之间重复使用密码。

凭证是通过HTTP连接以未加密的方式传输的。

Radio Balouch依赖于RadioBalouch[.]COM域（现已失效）进行C&C通信。它将发送它收集到的关于受害者的信息，特别是被感染设备的信息，以及受害者的联系人列表。与帐户凭据一样，C&C流量是通过HTTP连接以未加密的方式传输的。

结论

Google Play商店上出现的Balouch恶意软件（重复出现）应该可以警示谷歌安全团队和Android用户。除非谷歌提高了它的安全防护能力，否则一个新的Balouch克隆品或Ahmyth的任何其他衍生产品可能会出现在Google Play上。

尽管关键的安全要求“坚持官方应用程序源”仍然存在，但单凭它是不能保证安全的。强烈建议用户仔细检查他们打算在设备上安装的每个应用程序，并使用声誉良好的移动安全解决方案。

IoCs

*参考来源：welivesecurity，由Kriston编译，转载请注明来自FreeBuf.COM