近期，一种新的Android恶意软件变种Android.Fakeapp被研究人员所披露。据了解该Android恶意软件主要目标是窃取Uber用户的凭证信息，然后使用合法的Uber app的深层链接来隐瞒真相。

在分析最新的恶意软件变种时，一个样本引起了我们的关注。该样本使用了一种相当新颖和不同的技术手法，要求用户输入他们的信用卡详细信息。要知道Android用户数量在全球数以百万计，这对于使用Uber的安卓手机用户来说尤其值得关注！

此外经过我们进一步的分析发现，该Fakeapp变体有一个欺骗性的Uber app用户界面（UI）,它会定期的在用户的设备屏幕上弹出，直到用户被诱骗输入其Uber ID（通常是注册的电话号码）和密码。

图1为该恶意软件弹出的假Uber app UI，用于欺骗用户输入其详细信息。 一旦用户根据提示输入相关内容并点击“下一步”按钮（ – >），恶意软件则会将用户ID和密码发送到其远程服务器上。

接着，为了避免引起用户的注意，恶意软件会跳转回应用程序的合法界面并显示用户的当前位置，这么做通常不会引起用户的怀疑。

这也是该Fakeapp变体非常具有创造性的地方。为了显示所述界面，恶意软件使用合法app的深层链接发起app的Ride Request，将受害者的当前位置作为预加载点。

深层链接是将用户直接带到应用中特定内容的网址。Android中的深层链接是识别应用程序内部特定内容或功能的一种方式。

但对于应用程序来说，这像是一个web URL。例如，Uber app的Ride Request活动具有以下深层链接URI：

uber://?action=setPickup&pickup=my_location

图3展示了恶意软件的部分代码片段，这个恶意软件在将Uber凭证发送给其远程服务器之后，会使用Ride Request深层链接URI来触发VIEW intent。

这个案例再次表明了恶意软件作者，正不断的创新和改进其欺骗和窃取技术，也为我们普通用户的移动应用安全问题再次敲响了警钟！