找到24个散布小丑软件的Google Play应用

据Google Play称，旨在通过新的Joker恶意软件感染毫无戒心的Android用户的恶意应用程序共下载了472,000次。这个数字似乎相对较高，但我们必须指出它可能不完全准确。 Astroturfing技术在恶意软件运营商中非常流行，这意味着下载数量并不总是可信的。

然而，根据从CSIS安全集团的研究人员，小丑恶意软件交付通过共有24个应用程序并在37个国家，包括大多数欧盟成员国以及一些最大的市场在远东地区，并针对用户南美洲。所以，我们不是在谈论小型活动。让我们看看犯罪分子想要实现的目标。

Table of Contents

聪明的混淆技术和特定的目标设置Joker分开

CSIS安全组的专家没有说明哪种应用程序带有Joker恶意软件，谷歌也没有独立检测到应用程序并将其从Play商店中删除。这意味着确定目标用户群的确切人口统计数据并不容易。然而，可以肯定地说，这不是典型的喷射和祈祷运动，旨在尽可能多的人。

虽然有些应用程序无论目标如何都会继续感染，但大多数Joker应用程序都会编程以检查用户的电话号码，看它是否在应用程序内部硬编码的国家/地区代码列表中。某些应用程序旨在中断操作，如果他们发现该设备属于美国或加拿大公民。很难说仔细挑选目标是否与它有任何关系，但据研究人员称，Joker的代码以及其控制面板的一些特征表明作者是中国人。

一旦恶意应用程序确定目标适合感染，它就会继续从命令和控制服务器（C＆C）下载第二阶段有效负载，但它会尝试尽可能无声地执行此操作。与C＆C的沟通仅限于发送成功感染的简短报告并以加密形式接收有效载荷。恶意软件旨在执行尽可能少的Java命令，这使得难以检测，并隐藏其恶意任务，一些小丑出没的应用程序使用启动屏幕。

高级订阅恶意软件，可以执行更多操作

执行第二阶段有效负载后，Joker恶意软件会定期联系C＆C并等待指令。在CSIS观察的活动中，恶意应用程序被用于订阅受害者的付费服务。

C＆C发送URL，Joker使用JavaScript打开它并按照订阅步骤进行操作。 Joker使用的许多高级服务都需要一个额外的代码，作为SMS发送给用户。恶意软件可以读取文本消息，检索代码并完成订阅。

CSIS的专家没有提供太多有关受害者最终结果的详细信息，但他们确实说丹麦的一些用户已经注册了一项每周费用为6.71欧元（约合7.40美元）的服务。

很明显，在这个特定的活动中，小丑被用来赚钱. 但有一些事情表明，它也可以用于其他目的。

它可以阅读短信这一事实清楚地表明，它投入了大量的时间和精力，这对于恶意软件来说并不是非常典型，而恶意软件只是用于订阅付费服务的人。更重要的是，当CSIS的研究人员仔细研究时，他们发现Joker不仅可以阅读短信，还可以将其内容发送给C＆C。除此之外，专家还观察了Joker抓取并将受害者的联系人列表发送给恶意软件的运营商。换句话说，通过一些小修改，Joker可以变成一个强大的网络间谍工具。