找到24個散布小醜軟件的Google Play應用

據Google Play稱，旨在通過新的Joker惡意軟件感染毫無戒心的Android用戶的惡意應用程序共下載了472,000次。這個數字似乎相對較高，但我們必須指出它可能不完全準確。 Astroturfing技術在惡意軟件運營商中非常流行，這意味著下載數量並不總是可信的。

然而，根據從CSIS安全集團的研究人員，小丑惡意軟件交付通過共有24應用程序並在37個國家，包括大多數歐盟成員國以及一些最大的市場在遠東地區，並針對用戶南美洲。所以，我們不是在談論小型活動。讓我們看看犯罪分子想要實現的目標。

Table of Contents

聰明的混淆技術和特定的目標設置Joker分開

CSIS安全組的專家沒有說明哪種應用程序帶有Joker惡意軟件，谷歌也沒有獨立檢測到應用程序並將其從Play商店中刪除。這意味著確定目標用戶群的確切人口統計數據並不容易。然而，可以肯定地說，這不是典型的噴射和祈禱運動，旨在盡可能多的人。

雖然一些應用程序無論目標如何都會繼續感染，但大多數Joker應用程序都會編程以檢查用戶的電話號碼，看它是否在應用程序內部硬編碼的國家/地區代碼列表中。某些應用程序旨在中斷操作，如果他們發現該設備屬於美國或加拿大公民。很難說仔細挑選目標是否與它有任何關係，但據研究人員稱，Joker的代碼以及其控制面板的一些特徵表明作者是中國人。

一旦惡意應用程序確定目標適合感染，它就會繼續從命令和控制服務器（C＆C）下載第二階段有效負載，但它會嘗試盡可能無聲地執行此操作。與C＆C的溝通僅限於發送成功感染的簡短報告並以加密形式接收有效載荷。惡意軟件旨在執行盡可能少的Java命令，這使得難以檢測，並隱藏其惡意任務，一些小丑出沒的應用程序使用啟動屏幕。

高級訂閱惡意軟件，可以執行更多操作

執行第二階段有效負載後，Joker惡意軟件會定期聯繫C＆C並等待指令。在CSIS觀察的活動中，惡意應用程序被用於訂閱受害者以獲得付費服務。

C＆C發送URL，Joker使用JavaScript打開它並按照訂閱步驟進行操作。 Joker使用的許多高級服務都需要一個額外的代碼，作為SMS發送給用戶。惡意軟件可以讀取文本消息，檢索代碼並完成訂閱。

CSIS的專家沒有提供太多有關受害者最終結果的詳細信息，但他們確實說丹麥的一些用戶已經註冊了一項每週費用為6.71歐元（約合7.40美元）的服務。

很明顯，在這個特定的活動中，小丑被用來賺錢. 但有一些事情表明，它也可以用於其他目的。

它可以閱讀短信這一事實清楚地表明，它投入了大量的時間和精力，這對於惡意軟件來說並不是非常典型，而惡意軟件只是用於訂閱付費服務的人。更重要的是，當CSIS的研究人員仔細研究時，他們發現Joker不僅可以閱讀短信，還可以將其內容髮送給C＆C。除此之外，專家還觀察了Joker抓取並將受害者的聯繫人列表發送給惡意軟件的運營商。換句話說，通過一些小修改，Joker可以變成一個強大的網絡間諜工具。