24 Google Play Apps Found to Distribute the Joker Malware

Joker Malware on Google Play

据Google Play称,旨在通过新的Joker恶意软件感染毫无戒心的Android用户的恶意应用程序共下载了472,000次。这个数字似乎相对较高,但我们必须指出它可能不完全准确。 Astroturfing技术在恶意软件运营商中非常流行,这意味着下载数量并不总是可信的。

然而,根据从CSIS安全集团的研究人员,小丑恶意软件交付通过共有24个应用程序并在37个国家,包括大多数欧盟成员国以及一些最大的市场在远东地区,并针对用户南美洲。所以,我们不是在谈论小型活动。让我们看看犯罪分子想要实现的目标。

聪明的混淆技术和特定的目标设置Joker分开

CSIS安全组的专家没有说明哪种应用程序带有Joker恶意软件,谷歌也没有独立检测到应用程序并将其从Play商店中删除。这意味着确定目标用户群的确切人口统计数据并不容易。然而,可以肯定地说,这不是典型的喷射和祈祷运动,旨在尽可能多的人。

虽然有些应用程序无论目标如何都会继续感染,但大多数Joker应用程序都会编程以检查用户的电话号码,看它是否在应用程序内部硬编码的国家/地区代码列表中。某些应用程序旨在中断操作,如果他们发现该设备属于美国或加拿大公民。很难说仔细挑选目标是否与它有任何关系,但据研究人员称,Joker的代码以及其控制面板的一些特征表明作者是中国人。

一旦恶意应用程序确定目标适合感染,它就会继续从命令和控制服务器(C&C)下载第二阶段有效负载,但它会尝试尽可能无声地执行此操作。与C&C的沟通仅限于发送成功感染的简短报告并以加密形式接收有效载荷。恶意软件旨在执行尽可能少的Java命令,这使得难以检测,并隐藏其恶意任务,一些小丑出没的应用程序使用启动屏幕。

高级订阅恶意软件,可以执行更多操作

执行第二阶段有效负载后,Joker恶意软件会定期联系C&C并等待指令。在CSIS观察的活动中,恶意应用程序被用于订阅受害者的付费服务。

C&C发送URL,Joker使用JavaScript打开它并按照订阅步骤进行操作。 Joker使用的许多高级服务都需要一个额外的代码,作为SMS发送给用户。恶意软件可以读取文本消息,检索代码并完成订阅。

CSIS的专家没有提供太多有关受害者最终结果的详细信息,但他们确实说丹麦的一些用户已经注册了一项每周费用为6.71欧元(约合7.40美元)的服务。

很明显,在这个特定的活动中,小丑被用来赚钱. 但有一些事情表明,它也可以用于其他目的。

它可以阅读短信这一事实清楚地表明,它投入了大量的时间和精力,这对于恶意软件来说并不是非常典型,而恶意软件只是用于订阅付费服务的人。更重要的是,当CSIS的研究人员仔细研究时,他们发现Joker不仅可以阅读短信,还可以将其内容发送给C&C。除此之外,专家还观察了Joker抓取并将受害者的联系人列表发送给恶意软件的运营商。换句话说,通过一些小修改,Joker可以变成一个强大的网络间谍工具。

恶意软件会再次出现在Google Play上

CSIS的专家称赞Google可以快速有效地从Play商店中删除恶意应用程序。但必须说,它们不应该首先出现。

Android官方应用商店中的恶意软件问题并不新鲜 ,谷歌一直试图找到解决问题的方法。不幸的是,尽管据称是新的,改进的过滤器和保护机制,但不乏经常漏网的恶意应用程序。这意味着您仍需要像以往一样小心,特别是对于新应用程序请求的权限。

September 11, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
2 + 2是什么?