通过对Brain Test应用的逆向工程,科研专家发现了一种设计精良的恶意程序,它能够作为正常应用程序通过谷歌Bouncer系统的安全监测,该自动应用测试系统主要审查应用是否存在已知的安全问题,在已root设备甚至可将设备处于长期root状态下获得最高的权限,允许攻击者在感染设备上安装第三方应用程序。
该恶意程序所包含的代码在检测到某些IP地址段或者包含“google”,“Android”和“1e100”等域名的时候就会自动停止运动额,在通过Bouncer的安全监测之后按照在用户设备上,在首次运行的时候会执行一个时间炸弹功能,每隔2小时会自动执行20秒时间,缓慢的下载和解压必要的代码使其获得root权限并使用四个连锁的漏洞。
一旦获得root权限之后,Brain Test就能够安装名为“brother.apk”的应用程序,并会不断的检查恶意程序是否安装并处于root状态,如果两个应用中任意一款应用被移除,那么在每隔两个小时就会自动进行安装。
CheckPoint的安全研究者在9月10日之前向谷歌报告了该恶意程序,而后者的工程师在5日之后将其下架。不过没过几天,该应用再次重新上架,CheckPoint的移动威胁防御系统迅速发现并再次向谷歌进行了报告。