谷歌Play商店下架11款A(yù)ndroid應(yīng)用，帶有Joker惡意軟件

Joker惡意軟件現(xiàn)在可謂臭名昭著了，可在未經(jīng)用戶同意的情況下訂閱許多增值服務(wù)。讓用戶深惡痛絕。

以色列網(wǎng)絡(luò)安全公司 Check Point 的安全研究人員發(fā)現(xiàn)，幕后開發(fā)者對(duì)這些應(yīng)用的代碼機(jī)型了修改，以繞過 Play 商店的安全性審查。慶幸的是，谷歌已經(jīng)注意到了此事，并于近日在 Play 商店中剔除了 11 款帶有 Joker 惡意軟件的 Android 應(yīng)用。

Check Point 指出，這些應(yīng)用侵犯了用戶隱私、能夠下載更多惡意軟件到受感染的設(shè)備、甚至在未經(jīng)用戶知情或同意的情況下訂閱增值付費(fèi)服務(wù)。

作為 Android 上最臭名昭著的惡意軟件之一，黑客對(duì)代碼進(jìn)行了微小的改動(dòng)，而后一直在谷歌官方應(yīng)用市場(chǎng)招搖過市。

盡管谷歌已從 Play 商店剔除了這 11 款帶有 Joker 惡意軟件的應(yīng)用，但除非用戶手動(dòng)卸載，某則它們是不會(huì)從受害者的設(shè)備中移除的。

安全研究人員指出，Joker 的幕后主使者采用了威脅傳統(tǒng) PC 環(huán)境的一項(xiàng)古老技術(shù)，并將之運(yùn)用到了移動(dòng) App 世界中，以避免被谷歌檢出。

為扣取用戶的增值訂閱費(fèi)用，Joker 使用了通知偵聽服務(wù)和動(dòng)態(tài) dex 文件這兩個(gè)主要組件，后者依賴于命令與控制服務(wù)器來(lái)執(zhí)行服務(wù)的注冊(cè)。

起初，負(fù)責(zé)與服務(wù)器端進(jìn)行通信并下載的動(dòng)態(tài) dex 文件代碼位于 main classes.dex 中。但之后，初始 classes.dex 文件的功能中已包含了加載新的有效負(fù)載。

此外，惡意軟件開發(fā)者可將惡意代碼動(dòng)態(tài)地隱藏于 dex 文件中，同時(shí)仍可確保其能被加載(Windows PC 平臺(tái)上眾所周知的一項(xiàng)惡意軟件開發(fā)技術(shù))，以避免被系統(tǒng)給檢測(cè)到。

而后，新變體也將惡意 dex 文件隱藏為 Base64 編碼的字符串，通過讀取字符串對(duì)其進(jìn)行解碼，然后加載并映射感染設(shè)備，從而將應(yīng)用程序內(nèi)部的惡意 dex 文件隱藏起來(lái)。

這 11 款惡意 Android 應(yīng)用的列表如下：

com.imagecompress.android

com.relax.relaxation.androidsms

com.cheery.message.sendsms

com.peason.lovinglovemessage

com.contact.withme.texts

com.hmvoice.friendsms (twice)

com.file.recovefiles

com.LPlocker.lockapps

com.remindme.alram

com.training.memorygame

Check Point 安全研究人員建議，用戶應(yīng)在下載前檢查所有應(yīng)用程序。若懷疑設(shè)備已下載了受感染的文件，則應(yīng)立即將其卸載、檢查手機(jī)和信用卡賬單上是否有任何意料之外的支出。

據(jù)悉，谷歌已于過去 30 天內(nèi)第三次對(duì)惡意軟件展開了清理行動(dòng)。不過在手機(jī)上安裝反病毒軟件，依然是一項(xiàng)有助于防止系統(tǒng)被感染的重要措施。