Android最著名的惡意軟體之一——「Joker」丨大東話安全

一、小白劇場

小白：Now I see the funny side，now I’m always smiling。（現在我總是看到事物有趣的一面，總是笑口常開。）

大東：呦~小白！最近英語水平長進十足呀！

小白：大東東，真是讓你見笑啦，長進談不上，倒是看了不少英文電影！

大東：《小丑》確實經典，在上映之後的5個月時間中，這部電影創下了10億美元的全球票房，拿到了幾乎所有影展的最佳男主角與最佳配樂獎。

小白：絕對的經典，點個讚，看來東哥是同道中人吶~

大東：不過最近Google商店的「小丑」可一直作惡不斷呀！

小白：咦？是怎麼回事！東哥快給我講講吧~

二、話說事件

大東：近日，Google從官方商店下架了17個Android應用程式，Zscaler的安全研究人員發現，這17個應用程式都感染了「小丑Joker」惡意軟體。

小白：這個「小丑Joker」惡意軟體是做什麼的呀？

大東：這個間諜軟體旨在竊取簡訊、通訊錄和設備信息，並悄悄讓受害者籤署高級無線應用協議(WAP)服務。

小白：這些軟體被Google發現之前，感染的用戶多嗎？

大東：還是很多的，這17個惡意應用從被上傳到Play Store到被發現之前已經被下載超過12萬次啦，按照內部程序，谷歌從Play Store中刪除了這些應用，並使用Play保護服務在感染的設備上禁用了這些應用。

小白：看來Google公司對於惡意軟體的應急措施做得還是很不錯的~

大東：但是對於用戶而言，仍然需要手動幹預並主動從他們的設備中刪除這些應用。只有這樣做，才能確保自己的安全不受威脅。

小白：據我所知，最近Google下架應用可不止一次啦！

大東：沒錯沒錯，最近的這次下架是Google安全團隊在過去幾個月裡第三次採取這樣的行動了。之前，在Pradeo的安全研究人員發現並報告了此類應用之後，Google已經刪除了六個此類應用。還有一次就是在7月份，Google從安全科（Anquanke）刪除了另一批由安全研究人員發現的受Joker感染的應用程式。

小白：Google公司做的好，就是應該打擊這種惡意軟體。但是，Google公司應該也有自己的防禦吧？這些軟體是怎麼繞過Google公司的防禦進入Play Store的呀？

大東：這些受感染的應用程式通常通過一種叫做「滴管」的技術，通過多階段感染受害者的設備，之後就可以成功繞過Google的防禦，進入Play Store啦。從Google的角度來看，這項技術非常簡單，但是卻很難防範。

小白：這項技術是怎樣實現的呢？

大東：惡意軟體的作者首先會克隆一個合法應用程式的功能，然後將其上傳到Play Store。該應用程式功能齊全，當它首次運行時，會請求訪問危險權限，但不會執行任何惡意行為。

小白：這樣就不會被檢測到嘛？

大東：沒錯，由於惡意行為通常會延遲數小時或數天，因此Google的安全掃描不會檢測到惡意代碼，即會允許該應用程式出現在商店中。

小白：真的是太狡猾啦~

大東：移動安全公司Zimperium通過下面的流程圖展示了Joker的「完整攻擊鏈」，小白可以先學習一下。

Joker完整攻擊鏈（圖片來源：網絡)

小白：唉，大東，我不是特別明白。

大東：沒事，問題不大，聽我給你講講吧。該應用首先會「解碼」或解密字符以獲取並加載一個惡意「dex」文件的URL，然後從上述URL下載dex文件並使用調用「DexClassLoader構造函數」的「反射技術」將其加載到系統中，最後該文件執行它被開發用來執行的惡意任務，而設備所有者通常並不知情。

小白：用戶在毫不知情的情況下就被惡意軟體攻擊了，真的是太難啦。

三、大話始末

大東：來自Check Point Research的分析人員發現，許多應用程式使用的都是「小丑」惡意軟體的變種，它們隱藏在谷歌遊戲商店「貌似合法的應用程式」中。

小白：這種病毒一定對Android用戶構成了巨大的威脅吧？

大東：沒錯，小丑惡意軟體現在已經遍布了37個國家，印度是受影響最嚴重的國家之一。Check Point Research的分析人員聲稱，升級版本的Joker能夠下載額外的惡意軟體到設備上，從而在用戶不知情或不同意的情況下自動訂閱付費服務，

小白：唉，不知情的情況下，我的錢包就變薄了。小丑不斷成功的入侵谷歌的官方應用程式市場，原因是它的代碼發生了一些小的變化，這使得它能夠通過Play store的安全和審查屏障，

大東：然而，這一次，小丑背後的惡意開發者採用了傳統PC威脅的一種舊技術，並將其用於行動應用程式世界，以避免被谷歌檢測。

為了讓用戶在不知情的情況下訂閱高級服務和付費服務，Joker惡意軟體顯然使用了原始應用程式的通知偵聽器服務，以及命令和控制伺服器加載的動態dex文件來執行實際的用戶註冊。

小白：一般，Windows電腦惡意軟體的開發者常用的一種技術是通過隱藏dex文件來掩蓋他們代碼的「指紋」，同時確保它能夠加載。

大東：為了使自己的行為不易被發現，Joker一直試圖儘可能減少JavaScript代碼的使用與通過混淆技術鎖定其代碼。在許多情況下，惡意軟體已集成在與其惡意應用程式相關聯的廣告框架中。

小白：Joker通過欺詐性廣告活動試圖為其運營商創造利潤，真是太可惡了。

大東：除此之外，Joker還能夠通過模擬點擊默默地為受害者註冊高級服務和付費服務來與廣告網絡的網站進行互動。Joker通過模擬網站點擊，自動輸入運營商的優惠代碼以及從發送到目標設備的SMS消息中提取確認代碼，然後將這些代碼提交給廣告網站以完成該過程。

小白：所以說，遠離那些以前沒聽說過的開發者以及那些有很多負面評論的應用是很重要的。

四、小白內心說

大東：對於Android用戶來說，他們應該只從他們完全信任的開發者那裡下載應用，並且要避免在沒有充分理由的情況下將未使用的應用留在手機上。

小白：現如今Android威脅可謂是愈演愈烈啦~

大東：確實是，伴隨著智慧型手機快速普及，以及PC市場不斷下滑，手機用戶所面臨的安全威脅正超過PC用戶。賽門鐵克發布的數據顯示，行動裝置受到的整體威脅比2015年翻了一番，智慧型手機受到惡意軟體攻擊的次數累計已經達到1840萬次了。

小白：就目前市場來看，Android和iOS幾乎統治了智慧型手機系統，Android更是成為最受歡迎的手機系統。

Android 系統（圖片來源：網絡）

大東：但遺憾的是，Android面臨的安全風險也變得越來越大，逐漸成為了不少手機用戶的安全隱患。從2014年到2016年，iOS漏洞水平保持相對平穩狀態，但Android陣容惡意軟體總體數量卻在2016年增長了約105%左右。

小白：而且，目前Android病毒感染率已經超過了Windows。

大東：是的，來自諾基亞的「2017年度威脅情報報告」指出，Android設備是2017年惡意軟體的主要目標，感染率高達68.50%(智慧型手機佔所有行動網路感染的72%)。

小白：那Windows設備和iOS設備呢？感染率高嗎？

大東：作為對比，Windows設備僅有27.96%的惡意軟體感染率，iOS和其他設備也只有3.54%的感染率。

小白：這是不是就意味著Windows設備感染率最終會轉向智慧型手機呢？

大東：據諾基亞公司稱，Windows設備感染率最終會轉向智慧型手機，因為智慧型手機現在正成為訪問網際網路的首選方法。此外，「在智慧型手機領域，絕大多數惡意軟體都是作為Trojan化應用程式進行分發的。用戶被網絡釣魚，廣告或其他社交工程欺騙，下載和安裝應用程式。」

小白：現在國內外Android用戶所承受的安全風險有差別嘛？

大東：國內Android用戶面臨的風險要更大一些。有報告指出，亞洲地區是全世界Android設備市場佔用率最高的地區，但用戶安全意識的匱乏，以及部分製造商不惜犧牲安全性來壓低成本，使亞洲地區的Android用戶更加容易受到攻擊。

小白：Android手機的系統漏洞也是威脅手機安全的一大隱患。

大東：Android手機的系統漏洞已經成為手機安全的最大威脅，九成以上Android手機都曾出現過高中低各種等級的安全漏洞：95.4%的設備存在高危漏洞，94.1%的安卓手機存在中危級別漏洞，而90.6%的設備則被發現存在最高等級的安全漏洞。

小白：大東，Android手機的安全風險來自哪兒呢?

大東：據悉，Android手機之所以會面臨如此多漏洞，與Android系統的開放性有很大關係。由於Android是個開源系統，任何人都可以看到和修改系統內容。但是，即使只是簡單的修改了消息應用外觀，也可能會產生你不知道的漏洞。

小白：Google公司不是一直在加強Android系統的安全性嘛？

大東：雖然谷歌正在不斷加強Android系統的安全性，但由於Android系統碎片化嚴重，安全問題依然很難避免。從Android 8.0系統版本佔比的相關數據來看，在Android 8.0系統推出三個月之後，其普及率僅僅只有可憐的0.3%，在那時，即使是更早的Android 7.0版本，其普及率也只有20.6%，佔一半以上的Android用戶使用的版本還停留在更早之前。

小白：我覺著，Android系統安全性得不到保障還有很重要的一點原因就是Android設備可隨意安裝第三方應用。

大東：隨意的安裝第三方軟體使得Android設備非常容易受到惡意軟體感染，但需要指出的是，iOS設備同樣會面臨安全威脅，如間諜軟體「Pegasus」利用 iOS 中三個「零日漏洞」入侵 iPhone，可訪問設備中的消息、電話和電子郵件應用。

小白：其實，對手機用戶來說，無論你是Android用戶還是iOS用戶，都要增強安全意識。

大東：所有的智慧型手機用戶都應該對手機惡意軟體保持警惕，並採取措施進行預防。比如，1>在下載軟體前首先對該軟體進行一些調查研究，其中最主要的一個內容就是查看該軟體的專業評測,這樣做可以在很大程度上避免你下載到那些容易洩露用戶數據的程序。2>合法的軟體商店會定期掃描網站中提供的軟體，並將問題軟體及時關閉或替換，因此一定要在正規的軟體店中下載軟體，另外還要留意之前下載的軟體是否被發現有問題。

小白：好的好的，大東，我要去清理我的手機啦~

參考文獻：

1. 怎麼預防手機惡意軟體https://jingyan.baidu.com/article/bad08e1ea773a209c85121f8.html

3. 諾基亞：Android設備是2017年惡意軟體的主要目標

https://www.cnbeta.com/articles/soft/670303.htm

4. 「小丑」(Joker)Android惡意竊聽軟體

來源：中國科學院計算技術研究所