近日，研究人员在Google Play发现了一款恶意app以独特的方式利用了Android可访问性服务(Accessibility Services)，目的是推送Android恶意软件。

　　Zscaler和Securify的专家在Google Play发现了一款名为“Earn Real Money Gift Cards”的app并对其进行了分析。该app隐藏了一个Android银行木马BankBot的变种，BankBot的源代码在2016年底就已经在网上公开。

　　该app的开发人员还在Google Play上传了另一款app，这是一款游戏app，名为“Bubble Shooter Wild Life”。研究证实，该游戏app确实可以正常运行，但它同时也包含了下载恶意软件的功能。

　　这款app似乎还在开发中，它的代码被其开发人员使用了Allatori Obfuscator保护。经过分析表明它首先会请求一些看似无关紧要的权限，然后在开始执行恶意程序之前会等待20分钟，这就有可能绕过Google的Bouncer安全系统。

　　然后，该app会通过在手机屏幕上显示虚假的Google服务警报来欺骗受害者给予其可访问权限。而受害者只会认为他们正在启用“Google服务”，但实际上确是Android可访问性服务在被启用。

　　完成此步骤后，受害者手机屏幕会显示一个虚假的Google服务更新窗口，并在后台安装来自设备存储卡内的apk安装包，在后台进行的程序还启用了允许安装来自未知来源应用程序的选项。不需要受害者执行任何其他操作，可访问权限就已经被授予，因为这些操作都会在后台运行的程序自动执行。

　　Zscaler和Securify的研究人员认为，利用Android可访问性服务是这种恶意软件的独特之处。

　　Securify的研究人员表示，这款APP在暗网黑市上销售给网络犯罪分子。他们通常会试图向目标设备植入Android银行木马，如Exo、Mazar和BankBot。

　　Google已经证实了该恶意app的存在，而该app在Google Play存在的两天内，就被下载5000次。

　　利用Android可访问性服务的恶意软件并不罕见，但网络犯罪分子仍在寻找新的方法来利用此功能。通过移动安全初创公司Skycure在去年得到的一项研究结果显示，绝大多数Android设备都容易受到这种攻击，这些攻击可以通过点击劫持来诱导用户启用Android可访问性服务。