臭名昭著的 Joker 惡意軟體,可在未經用戶同意的情況下訂閱許多增值服務。以色列網絡安全公司 Check Point 的安全研究人員發現,幕後開發者對這些應用的代碼機型了修改,以繞過 Play 商店的安全性審查。慶幸的是,谷歌已經注意到了此事,並於近日在 Play 商店中剔除了 11 款帶有 Joker 惡意軟體的 Android 應用。
Check Point 指出,這些應用侵犯了用戶隱私、能夠下載更多惡意軟體到受感染的設備、甚至在未經用戶知情或同意的情況下訂閱增值付費服務。
作為 Android 上最臭名昭著的惡意軟體之一,黑客對代碼進行了微小的改動,而後一直在谷歌官方應用市場招搖過市。儘管谷歌已從 Play 商店剔除了這 11 款帶有 Joker 惡意軟體的應用,但除非用戶手動卸載,某則它們是不會從受害者的設備中移除的。
安全研究人員指出,Joker 的幕後主使者採用了威脅傳統 PC 環境的一項古老技術,並將之運用到了移動 App 世界中,以避免被谷歌檢出。
為扣取用戶的增值訂閱費用,Joker 使用了通知偵聽服務和動態 dex 文件這兩個主要組件,後者依賴於命令與控制伺服器來執行服務的註冊。起初,負責與伺服器端進行通信並下載的動態 dex 文件代碼位於 main classes.dex 中。但之後,初始 classes.dex 文件的功能中已包含了加載新的有效負載。
此外,惡意軟體開發者可將惡意代碼動態地隱藏於 dex 文件中,同時仍可確保其能被加載(WindowsPC 平臺上眾所周知的一項惡意軟體開發技術),以避免被系統給檢測到。
而後,新變體也將惡意 dex 文件隱藏為 Base64 編碼的字符串,通過讀取字符串對其進行解碼,然後加載並映射感染設備,從而將應用程式內部的惡意 dex 文件隱藏起來。
這 11 款惡意 Android 應用的列表如下:
com.imagecompress.androidcom.relax.relaxation.androidsmscom.cheery.message.sendsmscom.peason.lovinglovemessagecom.contact.withme.textscom.hmvoice.friendsms (twice)com.file.recovefilescom.LPlocker.lockappscom.remindme.alramcom.training.memorygame
Check Point 安全研究人員建議,用戶應在下載前檢查所有應用程式。若懷疑設備已下載了受感染的文件,則應立即將其卸載、檢查手機和信用卡帳單上是否有任何意料之外的支出。
據悉,谷歌已於過去 30 天內第三次對惡意軟體展開了清理行動。不過在手機上安裝反病毒軟體,依然是一項有助於防止系統被感染的重要措施。