App Store出现下载多于50万次的恶意软件

InstaAgent 是一款连接到 Instagram 的应用程序，可以追踪账户的访问记录并涉嫌存储用户名和密码，并发送给可疑的远程服务器。

恶意程序被发现过程

来自Peppersoft的一位安全研究人员下载了 InstaAgent（全称是Who Viewed Your Profile – InstaAgent），并发现该应用会将 Instagram 用户名和密码发送给远程服务器 instagram.zunamedia.com。

同时表示这款风靡英国、加拿大等国家的免费图片排行应用软件是苹果App Store商城上首款下载量突破50万的恶意程序。目前根据报道，该程序的创建者当时注册软件发布许可的位置位于土耳其。

InstaAgent还会使用登陆账户并发布非授权的图像，但Instagram 不允许第三方应用上传图片至用户账户。Instagram方面就此事件接受英国广播公司（BBC）采访时称，

“这种第三方应用的安装违反了我们平台的安装指南，而这种行为会造成攻击者访问用户的隐私信息。我们建议用户不要私自安装相关的第三方应用程序。如果用户下载类似这种程序应该立即卸载并更改自己的账户密码。”

苦恼的开发者

更有趣的还有一名开发者最近也十分的苦恼，因为改名开发者开发的应用程序名称叫做InstaAgen，与恶意程序的名字只差一个字母。目前改名开发者在美国费城。

Craig Pearlman 在接受BBC采访时表示，

“目前想要在应用商店发布一个新的应用需要经过严格的审查，我现在很担心自己的程序名称与那个程序名称混淆，我正在现在考虑改变自己的程序名称。”

虽然这款应用在美国并不流行，但在英国和加拿大，它却占据了免费榜首位，这意味着将有数万用户的账户信息被盗取。在 Google Play 中它的下载量为 100000到500000 之间，在 iOS 上的下载量可能也差不多。星期三早上该程序应用已经下架，另外值得注意的是，已经下载该程序的用户密码可能已被泄露，应立即重置自己的登陆密码避免更多的信息泄露。