Google Play Store上的8款Android应用程序（下载量达数百万）包含Android.FakeApp木马，正在窃取用户数据 - 这是完整列表，立即删除！

俄罗斯网络安全公司Dr. Web在Google Play Store上曝光了多款Android应用程序，这些应用程序包含复杂的木马Android.FakeApp.1669（也称为Android/FakeApp）。

这些应用程序声称提供财务工具、规划器和食谱书等实用功能，但其中包含隐藏的有效负载，可将用户重定向到不受欢迎的网站，从而危及他们的数据。更糟糕的是，超过200万用户在不知情的情况下从Google Play下载了这些受感染的应用程序。

官方Google Play商店中的恶意软件并不是什么新鲜事。事实上，上个月的报告显示，Apple App Store和Google Play Store上的恶意应用程序数量都有所增加。

Android.FakeApp.1669是Android.FakeApp木马家族的一部分，该恶意软件通常会将用户重定向到伪装成合法应用程序的不同网站。然而，这种变体尤其引人注目，因为它依赖于经过修改的dnsjava库，该库允许它接收来自恶意DNS服务器的命令，而恶意DNS服务器则会提供目标链接。这个目标链接不是应用程序宣传的功能，而是显示在用户屏幕上，通常伪装成在线赌场或不相关的网站。

根据Dr. Web的报告，该恶意软件仅在特定条件下激活。如果受感染的设备通过指定的移动数据提供商连接到互联网，DNS服务器将向应用程序发送一个配置，其中包含一个在应用程序的WebView界面内加载的链接。当未连接到目标网络时，该应用程序将按预期运行，使用户难以检测。

2018年1月，Android.FakeApp木马病毒首次在一款假冒的Android Uber应用中被发现。随后，在2018年3月，同样的恶意软件又针对Facebook用户窃取数据。2020年5月，就在正式版定于当年夏天发布之际，一款假冒的Valorant移动版游戏正在传播Android.FakeApp木马病毒。

这些应用声称是实用工具，包括个人理财和生产力应用、烹饪和食谱收集等。然而，一旦启动，这些应用就会连接到DNS服务器，以检索包含要显示的网站链接的配置。

Dr. Web的调查显示，Google Play商店中的多款应用（其中一些下载量很高）感染了Android.FakeApp.1669。尽管Google已删除其中一些应用，但数百万用户在删除之前已经安装了这些应用。以下是Dr. Web恶意软件分析师确定的应用列表：
1. Split it: Checks and Tips
2. FlashPage parser
3. BeYummy – your cookbook
4. Memogen
5. Display Moving Message
6. WordCount
7. Goal Achievement Planner
8. DualText Compare
9. Travel Memo
10. DessertDreams Recipes
11. Score Time

一旦下载，该木马就会从用户设备收集特定数据，例如：
1. 屏幕尺寸
2. 设备型号和品牌
3. 电池电量百分比
4. 开发人员设置状态
5. 设备ID，包含安装时间和一个随机数。

这些数据被编码成一个独特的子域名，允许服务器针对每个受感染的设备定制其响应。当设备满足连接标准时，Android.FakeApp.1669会从DNS服务器检索并解密数据，最终加载重定向到不受欢迎网站（通常是在线赌场）的链接。

解密过程涉及反转和解码Base64数据并解压缩，从而揭示敏感的配置细节。

鉴于下载量很高，Android用户应立即采取措施保护自己。首先，删除所有受感染的应用程序至关重要。卸载列表中的任何应用程序或其他显示可疑行为的类似应用程序，以最大限度地降低潜在的安全风险。

此外，阅读这些应用程序的评论；许多用户留下了负面评论，指出这些应用程序发送垃圾广告并导致他们的设备冻结，这种行为允许恶意软件在后台运行。

接下来，使用值得信赖的安全软件，定期检查应用程序权限是另一个重要步骤。用户应检查应用程序请求的权限，避免任何可能危及设备安全的不必要访问。此外，经常更新设备和应用程序可以帮助防止某些类型的恶意软件感染，因为更新通常包含重要的安全补丁。

尽管如此，即使使用Google Play等官方来源，也请谨慎下载。下载前检查应用权限并阅读用户反馈有助于发现潜在的危险信号并避免使用有风险的应用。