100,000 次下载的 Play 应用程序开始将文本传输到开发者的服务器

展开 Mateusz Slodkowski/SOPA Images/LightRocket 来自 Getty Images

Google 在收到一份报告称这两款应用属于非法计划的一部分后删除了这两款应用，其中一款下载量超过 100,000 次，该计划暗中转发用于在第三方网站上创建欺诈账户的短信。

第一个名为 Symoo 的应用程序是一个易于使用的 SMS 信使。安装后，它会询问用户的电话号码，然后假装加载应用程序。然后，该应用程序会在屏幕上冻结，同时在后台复制它收到的每条文本并将其发送到开发人员控制的网站 goomy[.]fun。

屏幕会无限期地冻结，所以很多用户最终可能会强制退出并卸载应用程序。然而，在 Symoo 运行时，开发人员将该号码用于付费服务，该服务在需要短信验证的网站上注册虚假账户。当应用程序运行时，该服务使用受感染的电话号码注册帐户，然后复制站点返回的验证码。除了发送与创建虚假帐户相关的短信外，Symoo 还会转发受感染手机从其他方收到的所有短信。

开发人员 Symoo 与另一个名为 ActivationPW 的应用程序背后的人有链接。 ActivationPW 通过 activation[.]pw 运作，这是一个允许人们使用受感染手机购买帐户的网站。

周二，在一名安全研究人员公布他的发现大约 12 小时后，谷歌终于从其 Play 商店中删除了 Symoo 和 ActivationPW。该公司还删除了开发者的 Play 帐户。

VirusTotal 的搜索显示 goomy[.]fun 已被名为 VirtualNumber 的 Play 应用程序使用。它是由 activation.pw 背后的同一个人创建的，与 Symoo 一样，它提供了一种使用受感染手机创建假账户的方法。

VirtualNumber 应用的开发者与创建 ActivationPW 的开发者是同一个人，该应用下载次数超过 10,000 次，并宣传提供来自 200 多个国家/地区的在线号码。

许多网站要求注册帐户的人提供接收短信的电话号码。在用户复制发送到手机的验证码之前，无法创建帐户。希望创建帐户以供机器人使用或用于欺诈目的的人通常求助于 ActivationPW 等服务来规避此要求。

任何安装了这些应用程序的人都应该检查他们的手机以确保这些应用程序已被删除。他们还应该知道，他们在应用程序打开时收到的任何短信都被转发到从事非法活动的服务器。