超强恶意软件现谷歌商店 卡巴斯基甩锅中国被打脸

（原标题：超强恶意软件现谷歌商店，卡巴斯基甩锅中国，安全人员：不接！）

本文作者：雷锋网网络安全专栏作者，李勤

我们只知道，卡巴斯基爱点名朝鲜黑客，比如，上次那波闻名全球的勒索病毒，它就站出来说：

幕后真凶或来自朝鲜！

吃瓜群众一看到朝鲜黑客被点名，就开始编织出无数版本的猜测和故事，谁关注那个“或”字。

“或”就是可能有，可能没有。

这种“莫须有”毫无实证的“锅”当年可是害死过一位著名历史人物的。

不过，对一些人而言，只要不是点名中国，说谁都行。

可是，6月8日卡巴斯基发布了一份报告，报告名为《Dvmap: the first Android malware with code injection》（《Dvmap：第一种具备代码注入能力的安卓恶意软件》）该报告指出，卡巴斯基分析了一种对Android系统平台运行库进行恶意代码注入的恶意软件样本，然后在报告中提及该恶意软件所包含的“.root_sh”脚本文件中存在中文注释。

隐隐约约就是在说：脚本文件居然有中文注释，哎呀，是谁做的呢？

人在家中坐，锅从天上来。

也许是注意到这一点，中国安全研究员火速开展了深度分析。

雷锋网宅客频道（微信ID：letshome）编辑发现，微信公众号“安天移动安全”6月9日发了一份《关于“Dvmap”安卓恶意软件分析报告》，对此样本进行了进一步分析。

扑朔迷离：“罪犯”隐匿真实时间

首先，我们来看看，这个安卓恶意软件到底能干什么。

这个com.colourblock.flood.apk伪装成名为“colourblock”的解密游戏，在Google Play进行发布下载。

既然是人畜无害，那么肯定不会让你“明眼”看出来它其实是个小恶魔。

但是，这个恶意软件会根据植入终端系统版本、cpu类型等信息，解密其内嵌的恶意文件“Game*.res"。呵呵哒，还能根据手机自适应呢！

最终，由这个恶意文件解析后释放的文件开始“张牙舞爪”试图伪装为高通的时间服务程序，其主要作用为与远控服务器通信并执行远控任务。

也就是远程操控你的手机！

然后你要问了：当我大谷歌是吃干饭的么？为什么没有检测出来？

因为这款恶意软件特别狡猾，在攻防战斗中应该是根老油条了。

这个恶意软件colourblock在3月下旬起，就采用了在同一天内交替上传该软件的恶意版本与无害版本得方法，借以绕过了Google Play对其进行安全性检查的方式，而且一直利用Google Play市场进行分发。还借由此种方法多次上传其恶意版本及对其恶意载荷的加密处理，自3月下旬起至被卡巴斯基公司举报下架为止，该恶意软件已被累积下载超过50000次。

安全人员还分析发现，这个恶意代码的开发者有一定反侦察自我保护能力，对恶意样本实施了部分保护措施，如隐匿apk生成