近期，研究人員發(fā)現(xiàn)數(shù)十個(gè)應(yīng)用程序通過(guò)虛擬市場(chǎng)傳播 Joker、Facestealer 和 Coper 等惡意軟件。據(jù) The Hacker News 網(wǎng)站披露，Google 已從官方 Play 商店中下架了這些欺詐性應(yīng)用程序。

Android 應(yīng)用商店被廣泛認(rèn)為是發(fā)現(xiàn)和安裝這些欺詐性應(yīng)用程序的來(lái)源，但是研究人員發(fā)現(xiàn)攻擊者正在想方設(shè)法繞過(guò)谷歌設(shè)置的安全屏障，引誘毫無(wú)戒心的用戶下載帶有惡意軟件的應(yīng)用程序。

研究人員  Viral Gandhi 和 Himanshu Sharma 在周一的報(bào)告中表示，Joker 是針對(duì) Android 設(shè)備最著名的惡意軟件家族之一，Zscaler ThreatLabz 和 Pradeo 的最新發(fā)現(xiàn)也證明了這一點(diǎn)。

盡管公眾對(duì) Joker 這種特殊的惡意軟件已經(jīng)有所了解，但是它通過(guò)定期修改惡意軟件的跟蹤簽名（包括更新代碼、執(zhí)行方法和有效載荷檢索技術(shù)）不斷尋找進(jìn)入谷歌官方應(yīng)用商店的途徑。

關(guān)于 Joker

Joker 又名 Bread ，被歸類為 fleeceware，旨在為用戶訂閱不需要的付費(fèi)服務(wù)或撥打高級(jí)號(hào)碼，同時(shí)還收集用戶的短信、聯(lián)系人名單和設(shè)備信息，于 2017 年首次在 Play Store 中被發(fā)現(xiàn)。目前，兩家網(wǎng)絡(luò)安全公司共發(fā)現(xiàn)了 53 個(gè) Joker 下載器應(yīng)用程序，這些應(yīng)用累計(jì)下載量超過(guò)了 33 萬(wàn)次。

這些應(yīng)用程序一般通過(guò)冒充短信、照片編輯器、血壓計(jì)、表情符號(hào)鍵盤和翻譯應(yīng)用程序的形式出現(xiàn)，一旦用戶安裝后，應(yīng)用程序又要求提升設(shè)備的權(quán)限來(lái)進(jìn)行其它操作。

研究人員經(jīng)過(guò)分析發(fā)現(xiàn) Joker 惡意軟件采用了新的策略繞過(guò)檢測(cè)，Joker 開(kāi)發(fā)人員不會(huì)等著應(yīng)用程序獲得指定數(shù)量的安裝和評(píng)論后，再更換帶有惡意軟件的版本，而是使用商業(yè)打包程序?qū)阂庳?fù)載隱藏在通用資產(chǎn)文件和打包應(yīng)用程序中。

惡意軟件感染許多應(yīng)用程序

值得一提的是，應(yīng)用商店不僅僅出現(xiàn)了 Joker。安全研究員 Maxime Ingrao 上周披露了八款應(yīng)用程序，其中含有名為  Autolycos 的惡意軟件的不同變體。在存在了六個(gè)多月之后才從應(yīng)用程序商店中刪除，此時(shí)其下載量總計(jì)已經(jīng)超過(guò)了 30 萬(wàn)次。

Malwarebytes 的研究員 Pieter Arntz 表示，這種類型的惡意軟件具有新的特點(diǎn)，它不再需要 WebView，這大大降低了受影響設(shè)備的用戶注意到發(fā)生異常情況的機(jī)會(huì)。比如 Autolycos 就是通過(guò)在遠(yuǎn)程瀏覽器上執(zhí)行 URL，然后將結(jié)果納入 HTTP 請(qǐng)求中，從而避免了 WebView。

應(yīng)用商店中還發(fā)現(xiàn)了嵌入 Facestealer 和 Coper 惡意軟件的應(yīng)用程序，前者使運(yùn)營(yíng)商能夠竊取用戶 Facebook 憑據(jù)和身份驗(yàn)證令牌， 后者（Exobot 惡意軟件的后代）充當(dāng)銀行木馬，可以竊取廣泛的數(shù)據(jù)。

據(jù)悉，Coper 還能夠攔截和發(fā)送 SMS 文本消息、發(fā)出 USSD（非結(jié)構(gòu)化補(bǔ)充服務(wù)數(shù)據(jù)）請(qǐng)求以發(fā)送消息、鍵盤記錄、鎖定/解鎖設(shè)備屏幕、執(zhí)行過(guò)度攻擊、防止卸載以及通常允許攻擊者控制和執(zhí)行命令通過(guò)與 C2 服務(wù)器的遠(yuǎn)程連接在受感染的設(shè)備上。

與其他銀行木馬一樣，Coper 惡意軟件會(huì)濫用 Android 上的可訪問(wèn)權(quán)限來(lái)完全控制受害者的手機(jī)。 Facestealer 和 Coper 感染的應(yīng)用程序列表如下 ：

Vanilla Camera (cam.vanilla.snapp)

Unicc QR掃描器 (com.qrdscannerratedx)

最后提醒廣大用戶，要從正規(guī)的應(yīng)用商店下載應(yīng)用程序，通過(guò)檢查開(kāi)發(fā)商信息、閱讀評(píng)論和仔細(xì)檢查其隱私政策來(lái)驗(yàn)證其合法性，并且建議用戶不要給應(yīng)用授予不必要的權(quán)限。