您的移动防病毒应用程序带来的是保护还是攻击？DU Antivirus Security 真相揭秘

2017 年上半年，在美洲发生的所有网络攻击中，移动攻击占比近 20％，用户经常接到警告，让他们小心那些会影响其数据和隐私的安全风险，并安装安全软件来保护其设备。但如果防病毒解决方案并不可信，而且实际还会侵害用户隐私，又会是何种局面？

Check Point 移动威胁研究人员最近发现，一款免费移动防病毒应用程序会在未经设备所有者同意的情况下收集用户数据，该应用是由 Android 应用程序开发者 DU 所开发。根据 Google Play 数据，该应用名为DU Antivirus Security，通过 Google 官方应用商店 Google Play 发布，并拥有 1000 万 到 5000 万 次的下载量。

据 Check Point 研究发现，DU Antivirus Security 应用在首次运行时会从设备收集信息，例如唯一标识符、联系人列表、通话记录，而且还可能收集设备位置。该应用会对信息加密并发送到远程服务器。随后，DU 集团另一款名为“Caller ID & Call Block – DU Caller”的应用程序将利用该客户信息，为用户提供来电信息。

用户相信 DU Antivirus Security 能够保护私人信息，事实却完全相反。其未经许可擅自收集用户的个人信息，并将该私人信息用于商业目的。这款应用会记录您的私人电话、通话对象和时长等信息，以备日后使用。

 图 1：Google Play 上的 DU Antivirus Security 应用

2017 年 8 月 21 日，Check Point 向 Google 报告了该应用程序非法使用用户的私人信息，2017 年 8 月 24 日，该应用从 Google Play 移除。2017 年 8 月 28 日，不包含有害代码的新版本重新上传到 Play 商店。最新一版包含隐私泄露代码的 DU Antivirus Security 版本号为 3.1.5，但旧版本可能仍包含此代码。

除 DU Antivirus Security 之外，Check Point 研究人员在其他 30 个应用中也检测到相同代码，其中 12 个出现在 Google Play 上，随后也已移除。这些应用程序可能会以外部库的形式实施代码，并将盗用数据传输至 DU Caller 所用的同一远程服务器。总而言之，根据 Google Play 数据，安装这些应用后感染该非法代码的用户人数高达 240 万至 890 万。

用户如果安装 DU Antivirus Security 或任何其他有害应用，应确保升级至不含此代码的最新版本。

由于防病毒应用有正当理由请求异常广泛的权限，因此在企图滥用这些权限的诈骗者眼中，防病毒应用就是他们最好的掩护。在某些情况下，移动防病毒应用甚至被用作传播恶意软件的诱饵。用户应该留意这些可疑的防病毒解决方案，并且在使用移动威胁防护机制时，仅选择信誉良好且确实能够保护移动设备及其中所存储数据的供应商。

技术细节：

DU Antivirus Security 应用程序在第一次运行时会从用户设备上窃取信息。之后将失窃信息发送到名为 caller.work 的服务器，该服务器并未在 DU 应用程序中注册。但是，该域有两个子域，表明它确实连接到 DU Caller 应用程序。首先，子域 http://reg.caller.work/ 是个 PHP 网页，指定的主机名为：us02-Du_caller02.usaws02，其中包含 DU Caller 应用程序的名称。（有关完整的技术报告，请参阅 Check Point Research）

另外，子域 vfun.caller.work 的主机使用 IP 47.88.174.218，这是个私人服务器，也是域 dailypush.news 的主机服务器。该域注册在 zhanliangliu@gmail.com 名下，这是一名百度员工，其曾使用相同的邮件地址发布过有关解析电话号码的帖子 (http://zliu.org/post/python-libphonenumber/)。由于 DU 应用程序属于百度公司，并且该帖子涉及与 Caller 应用程序相关的功能，因此很显然失窃信息和这款应用之间存在关联。

图 2：DU Antivirus Security 应用和 Caller 应用之间的联系

DU Caller 应用的隐私政策在不同页面上显示不同的条款，而且无论用户同意与否，都会执行其活动，因此早已因为隐私政策模糊不清而为人诟病。去年，猎豹移动 (Cheetah Mobile) 的防病毒应用 (Anti-Virus) 曾因提供可能违反隐私规定的服务而面临类似指控。