第一资讯站臭名昭著的Joker恶意软件,可在未经用户同意的情况下订阅许多增值服务。以色列网络安全公司Check Point的安全研究人员发现,幕后开发者对这些应用的代码机型了修改,以绕过 Play 商店的安全性审查。庆幸的是,谷歌已经注意到了此事,并于近日在 Play 商店中剔除了11款带有 Joker 恶意软件的 Android 应用。
Check Point 指出,这些应用侵犯了用户隐私、能够下载更多恶意软件到受感染的设备、甚至在未经用户知情或同意的情况下订阅增值付费服务。
作为 Android 上最臭名昭著的恶意软件之一,黑客对代码进行了微小的改动,而后一直在谷歌官方应用市场招摇过市。
尽管谷歌已从 Play 商店剔除了这11款带有 Joker 恶意软件的应用,但除非用户手动卸载,某则它们是不会从受害者的设备中移除的。
安全研究人员指出,Joker 的幕后主使者采用了威胁传统 PC 环境的一项古老技术,并将之运用到了移动 APP 世界中,以避免被谷歌检出。
为扣取用户的增值订阅费用,Joker 使用了通知侦听服务和动态 dex 文件这两个主要组件,后者依赖于命令与控制服务器来执行服务的注册。
起初,负责与服务器端进行通信并下载的动态 dex 文件代码位于 main classes.dex 中。但之后,初始 classes.dex 文件的功能中已包含了加载新的有效负载。
此外,恶意软件开发者可将恶意代码动态地隐藏于 dex 文件中,同时仍可确保其能被加载(Windows PC 平台上众所周知的一项恶意软件开发技术),以避免被系统给检测到。
而后,新变体也将恶意 dex 文件隐藏为 Base64编码的字符串,通过读取字符串对其进行解码,然后加载并映射感染设备,从而将应用程序内部的恶意 dex 文件隐藏起来。
这11款恶意 Android 应用的列表如下:
com.relax.relaxation.Androidsms
com.cheery.message.sendsms
com.peason.lovinglovemessage
com.contact.withme.texts
com.hmvoice.friendsms (twice)
com.file.recovefiles
com.LPlocker.lockAPPs
com.remindme.alram
com.training.memorygame
Check Point 安全研究人员建议,用户应在下载前检查所有应用程序。若怀疑设备已下载了受感染的文件,则应立即将其卸载、检查手机和信用卡账单上是否有任何意料之外的支出。
据悉,谷歌已于过去30天内第三次对恶意软件展开了清理行动。不过在手机上安装反病毒软件,依然是一项有助于防止系统被感染的重要措施。
