淘米客移动广告平台被曝发布恶意SDK帮助开发人员执行安卓app的应用内购买。这个SDK秘密窃取所有发送到受感染手机上的短信。
这个SDK由淘米客开发,允许安卓开发人员通过短信创建提供应用内购买的移动app。发现这个SDK的是安全提供商Palo Alto网络公司,专家表示包含短信窃取功能的SDK版本是最近于2015年8月发布的版本。目前为止已经检测出6.3万款安卓app包含淘米客SDK,不过只有1.8万款包含SDK的最新恶意版本。
App开发人员对恶意SDK毫不知情
这些app的开发人员并没有意识到他们用来支持IAP的库实际上在窃取短信(文本内容和发件号码),并随后上传到淘米客服务器中,即 112.126.69.51/2c.php.上。
安全专家指出,只有这个URL用来收集短信。将该URL输入淘米客很容易因为它还被用于托管其它API函数。所有受影响的app似乎只是由中国开发人员创建,似乎并未发现通过谷歌官方应用商店传播的案例。
短信用途尚不得知
截止目前,安全研究人员无法从分析中知晓淘米客盗取短信的动机。
此前Apple因256款app包含类似“恶意”API而将其从应用商店下架。这个API会收集iOS用户的私人信息,违反了Apple的隐私和安全策略。与本案例类似,这个API也属于一家中国广告公司,名为有米。