从应用商店下载的看似正常的虚拟键盘、摄像头、游戏等应用软件,由于带有恶意模块,可能会在不知不觉中被使用。自动发送短信订阅增值服务,让用户话费瞬间蒸发。近日,全球知名杀毒产品提供商网博士表示,华为官方应用商店AppGallery中有10款此类应用感染了53.8万台设备。这也是首次在应用商店中发现携带小丑病毒的恶意软件。它现在已被正式删除。不过,这并不是小丑病毒第一次出现。早在2017年,谷歌应用商店GooglePlay就检测到Joker病毒,其作弊手段与本次发现的恶意软件如出一辙。此外,这些“毒”软件还可能通过在正规软件中植入病毒模块,引诱用户下载。Dr.web发表的报告。1冒充功能APP,发送短信订阅增值服务研究人员发现,这些APP的功能与描述相符,比较简单,包括虚拟键盘、在线消息、照片、游戏等,但所有这些都被植入了恶意模块。用户下载后,这些软件可以正常使用,但需要请求用户手机的通知和短信权限。Dr.web报告中提到的十个“有毒”应用。一旦被激活,恶意软件就会与其远程服务器通信以获取配置文件,其中包含任务列表、增值服务网站以及模仿用户交互的代码。随后,软件中的恶意模块开始隐蔽运行,自动发送短信订阅增值服务。为了防止用户注意到这些恶意模块,这些软件还会利用通知权限拦截订阅服务发送给短信代码的确认信息。这样,用户在不知情的情况下刚刚开通了增值业务,话费就被盗用了。此外,为了让设备成功订阅增值服务,恶意软件需要确保用户正在使用移动网络。因此,如果用户使用的是WiFi网络,软件内置模块会导致WiFi网络中断,用户必须使用移动数据上网。为防止用户疑虑过快蒸发话费,该恶意模块每台设备默认最多开通5个增值业务。但是这个限制是可以改变的。网博士研究人员截获的模块中,增值订阅上限已达到10个。2、恶意病毒为Joker变种,曾感染GooglePlay。研究人员表示,此次发现的恶意软件中的功能模块并非首次出现,而是著名病毒Joker的另一个版本。早在2017年,谷歌应用商店GooglePlay就检测到Joker病毒,其作弊手段与本次发现的恶意软件如出一辙。2020年,谷歌发布报告称,其检测程序GooglePlayProtect已检测到1700多款应用程序感染了Joker病毒,这些应用程序在发布前都已被检测并移除。但仍有漏网之鱼。2019年,卡巴斯基研究人员发现了70种携带小丑病毒的恶意软件。而这些软件当时已经在GooglePlay上架了。小丑入侵华为应用商店表明其影响范围正在扩大,其威胁不容忽视。此外,获得短信权限的恶意模块除了接收订购增值服务的验证码外,还会获取用户的其他短信内容,存在数据泄露风险。3为什么恶意软件难以根除?隐藏在无害软件背后,2017年首次出现的Joker病毒为何依然活跃且难以根除?小丑病毒不断产生新的变种来应对系统检测。比如小丑最典型的模式就是“短信诈骗”,即发送短信订阅增值服务。而当谷歌在2019年采取了一项新政策,要求删除未明确声明就请求短信权限的应用程序时,Joker改变了攻击策略,变成了“电话欺诈”,诱使用户点击静默加载按钮。这是一个付费电话。除此之外,由于Joker病毒总是隐藏在无害软件的伪装之后,它的真正开发者可以保持隐形。Joker可以通过内置模块嵌入到应用程序中。因此,检测系统检测到恶意软件后,只能加强监控,将软件移除。但病毒可以逃脱,另一台主机可以继续进行诈骗。此次在华为应用商店发现的10款恶意软件中,有8款来自“山西快来派网络科技有限公司”。资料显示,这家公司成立于2020年5月18日,注册资本300万元。.从成立时间来看,这家公司显然不是小丑病毒的始作俑者。他们所做的就是将病毒模块嵌入到应用程序中以牟利。目前,这些恶意软件已从华为应用商店下架。此外,南都记者发现,这些恶意软件与一些正版软件非常相似,功能介绍几乎相同,只是名称略有不同。很可能是在正规的无害软件中嵌入病毒模块,制作盗版应用,诱骗用户下载。例如,名为“HappyColor”的恶意软件在功能和设计上与市场上一款名为“HappyColor”的填色游戏应用程序几乎完全相同。网博士表示,得知消息后,华为已经在应用商店中屏蔽了木马病毒,并承诺会展开调查,将类似恶意应用出现的可能性降到最低。研究人员提醒,普通用户也应识别和防范恶意软件风险。首先,下载应用时尽量选择官方可靠的渠道。安装时,谨防应用过度要求手机权限,尤其是短信和通知权限;其次,要注意手机话费的使用情况。如果您发现不合理的费用,您可以登录运营商网站查看增值服务的状态。如有非本人经营的订单业务,请务必及时退订。
