在 Google Play 中发现带有朝鲜间谍软件的 Android 应用程序

快速阅读: 据《Ars Technica》称，谷歌移除了两个利用Firebase的间谍应用程序，这些应用通过两阶段指令与控制基础设施从Firebase托管的数据库中提取配置。Lookout的研究员称，谷歌未明确回应有关应用托管数量及时长的问题，但提到Play Protect功能能检测非Play商店来源的恶意软件。安卓用户应谨慎安装应用，可通过文中列出的特征自查设备是否感染恶意软件。

尽管这些应用程序并非托管在谷歌Play商店中，但它们依然依赖一种两阶段的指令与控制基础设施，从由谷歌提供的Firebase平台托管的数据库中提取配置设置。谷歌已经从其基础设施中清除了这两个应用程序及其相关的配置数据库。在周三发布的文章中，Lookout的研究员阿里姆达尔·伊斯拉莫格鲁写道，谷歌的一位代表没有回应关于具体有多少个KoSpy应用程序曾托管在Play商店内以及托管时间长度的问题。该代表还提到，最近的一个应用程序样本在获得任何下载之前已经被从Play商店下架，但没有回应关于提供更多样本数据的请求。此外，这位代表补充说，谷歌Play Protect功能能够在某些情况下检测到已安装在安卓设备上的恶意程序，即便这些程序来自Play商店之外的来源。

Lookout方面表示，他们对追踪为APT37（ScarCruft）和APT43（Kimsuki）的朝鲜间谍组织是这些恶意软件背后的主力这一观点具有中等信心。安卓用户在安装任何应用程序之前都应保持谨慎态度。许多此类应用实际上毫无实际价值，正如Lookout所揭示的那样，在其他情况下，使用普通的移动浏览器即可实现相同的功能。如果有人担心自己的设备可能已感染了此类恶意软件，则可以参考周三文章末尾列出的相关特征来判断是否存在异常情况。

请留意，本文所有内容均已翻译成中文，包括但不限于人名、地名、公司名及设备名，均按照发音进行了音译处理。文中出现的所有英文词汇均已转换为对应的中文表述，同时对装备名称、人名地名以及公司名称均做了相应调整。经过润色后，整段文字变得更加流畅自然，结构也更加紧凑美观。

(以上内容均由Ai生成)