遭遇假Google，当心手机账单

Android Market最近刚刚更名为Google Play，马上就被网络犯罪份子加以利用。趋势科技已经发现有恶意网站伪装成Google Play网站，内含通过手机增值服务非法盈利的恶意应用。

访问恶意网址http://{BLOCKED}AY-google.ru会打开一个俄罗斯文的Google Play网站。页面中显示的那段话的意思是：“请为Android下载Google Play，Google Play就是以前大家所熟知的Android Market，现在不仅提供原本Android Market的所有功能，而且还增加了Google Books书城，以及多种格式的电影和Google Music音乐。”

在该网站上点击下载链接后，会打开另一个提供可疑Android应用程序的恶意俄罗斯网站，从http://{BLOCKED}AY-google.ru下载Google Play应用程序（Google-play.apk）时，会下载到包含ANDROIDOS_SMSBOXER.AB的恶意文件，此外还会自动访问另一个恶意网站http://{BLOCKED}-api.ru。

ANDROIDOS_SMSBOXER.AB是滥用增值服务类型的手机恶意软件，这种恶意软件会在中毒手机上未经用户允许暗地里订阅增值服务，因此会为用户产生不必要的费用。

这个恶意软件和ANDROIDOS_OPFAKE.SME很像，后者是另一个Android恶意软件，上个月曾因为多型变种能力而上了新闻。但是就和ANDROIDOS_OPFAKE.SME一样，提供ANDROIDOS_SMSBOXER.AB的服务器只是将一些多余的文件加入APK内，这主要是为了躲避检测。而根据趋势科技威胁分析师的意见，技术上来说这种做法未必会有多大效果，因为这类APK的原始代码本身并没有显着变化。也正式因为如此，就算程序内部加入多余文件，安全软件依然可以直接检测出来。

除了检测恶意APK文件外，趋势科技的主动式云端截毒服务也封锁了所有相关恶意网址。趋势科技的用户不需要担心ANDROIDOS_SMSBOXER.AB的威胁，而且趋势科技移动安全套件的信誉评比服务也已经可以检测到了。

如果说从这件事中可以学到什么的话，那就是这次攻击证明，网络犯罪分子确实能够快速根据手机业界的变化做出响应。趋势科技强烈建议用户在下载应用程序和使用软件商店时都要非常小心。