Android恶意软件,被称为“小丑”(Joker),它在三年前首次被发现,它负责窃取手机短信,手机交易账单,以及利用窃取的信息进行出售和欺诈,以及间谍软件的能做的所有事情
来自Check Point Research的分析人员发现,许多应用程序使用的是研究人员所说的“小丑”恶意软件的变种,它们隐藏在谷歌游戏商店“貌似合法的应用程序”中。
小丑病毒对Android用户构成了巨大威胁,谷歌已经发现24个此类应用受到恶意软件的影响。这些应用已从Play商店中删除。
小丑恶意软件已经遍布37个国家,印度是受影响最严重的国家之一。
“小丑”(Joker)在用户不知情或不同意的情况下订阅付费服务
- Check Point Research的分析人员:“我们发现,这个升级版的Joker能够下载额外的恶意软件到设备上,从而在用户不知情或不同意的情况下自动订阅付费服务,
”Check Point团队在他们的调查总结中写道:该报告提供了11个有问题的应用程序的包名(其中一个被列了两次),你可以检查你使用的软件有没有这些包名的文件
com.imagecompress.android
com.contact.withme.texts
com.hmvoice.friendsms
com.relax.relaxation.androidsms
com.cheery.message.sendsms
com.cheery.message.sendsms
com.peason.lovinglovemessage
com.file.recovefiles
com.LPlocker.lockapps
com.remindme.alram
com.training.memorygame
这些应用程序包括一个文件恢复服务,一个图像压缩器,和一个专门收集鲜花的壁纸应用程序。
“Joker是Android上最著名的恶意软件之一
“小丑”(Joker)不断地进入,成功的入侵谷歌的官方应用程序市场,如此顺利的成功的入侵,原因是它的代码发生了一些小的变化,这使得它能够通过Play store的安全和审查屏障,
”Check Point团队在报告中说:
“然而,这一次,小丑背后的恶意开发者采用了传统PC威胁的一种旧技术,并将其用于移动应用程序世界,以避免被谷歌检测。”
为了让用户在不知情的情况下订阅高级服务和付费服务,Joker恶意软件显然使用了原始应用程序的通知侦听器服务,以及命令和控制服务器加载的动态dex文件来执行实际的用户注册。
Check Point表示,Windows电脑恶意软件的开发者常用的一种技术是通过隐藏dex文件来掩盖他们代码的“指纹”,同时确保它能够加载。
谷歌已经从Play Store删除了这些应用程序,
但是Check Point的Aviran Hazum告诉一家新闻媒体,Joker恶意软件很可能会以某种形式再次出现。
尽管谷歌投资增加了游戏商店的保护,Joker恶意软件还是很难检测到。
虽然谷歌已经从游戏商店中删除了恶意应用,但小丑会再次适应新的环境。”
“小丑”(Joker),通过Google Play提供的应用程序已被不知情的Android手机用户安装了47.2万次。
恶意应用程序包含一个由网络安全公司称为Joker的特洛伊木马程序,该名称引用连接到运营商命令和控制(C2)服务器的域名之一。
Joker试图通过尽可能减少的JavaScript代码的使用
并通过混淆技术锁定其代码来保持在受感染设备上保持沉默和未被发现。
在许多情况下,恶意软件已集成在与其恶意应用程序相关联的广告框架中。
恶意代码包含通常的特洛伊木马功能列表,包括窃取SMS消息,联系信息和设备数据,并不断地将C2命令用于命令。
然而,Joker通过欺诈性广告活动试图为其运营商创造利润。
Joker能够通过模拟点击并默默地为受害者注册高级服务和付费服务来与广告网络的网站进行互动。
Joker通过模拟网站点击,自动输入运营商的优惠代码以及从发送到目标设备的SMS消息中提取确认代码,在丹麦注册了一个高级网站服务用户,每周花费大约7欧元。
然后将这些代码提交给广告网站以完成该过程。
在其他情况下,恶意软件可能只是向高级号码发送SMS消息。
每个欺诈性的“工作”都是从C2收到的,一旦优质服务注册完成,Joker会通知C2并等待进一步的指示。
Joker的运营商专注于37个特定国家作为目标
包括中国,英国,德国,法国,新加坡和澳大利亚。
研究人员发现的许多受感染的应用程序都包含一个移动国家/地区代码(MCC)列表,受感染设备上的SIM卡必须与可接受的MCC相关,以便Joker执行。
如果用户在美国或加拿大,大多数这些应用程序将不会部署恶意软件;
但是,其中一小部分不包含任何国家限制。