谷歌从市场上删除了多个包含恶意软件的Android应用程序超过300万次下载。根据网络安全公司Evina的法国安全研究员MaximeIngrao上周在Twitter上发布的一篇帖子,他声称发现了一种他称之为Autolycos的恶意软件。该恶意软件可以订阅用户的高级服务并访问用户的短信。这种类型的恶意软件——恶意应用程序在用户不知情或不同意付款的情况下向用户收取订阅高级服务的费用——被称为收费欺诈恶意软件,或更常见的是羊毛软件。Ingrao说,自2021年6月以来,他在该网站上发现了八个传播Autolycos的应用程序,下载量增加了数百万。他说,Autolycos背后的网络犯罪分子正在使用Facebook页面并在Facebook和Instagram上投放广告来推广该恶意软件。Ingrao在一系列描述恶意软件工作原理的后续帖子中写道:“例如,RazerKeyboard&Theme恶意软件有74个活动。”该软件于2009年被发现,秘密订阅人们的高级服务并窃取短信等恶意活动。事实上,经过进一步检查,来自Malwarebytes的研究人员认为该恶意软件是Joker的新变种——Malwarebytes在Ingrao披露Malwarebytes被情报研究员PieterArtnz命名为“Android/Trojan”一天后发表的一篇帖子中说。.Spy.Joker-Malwarebytes”。根据Malwarebytes的说法,Joker是第一个专门生产羊毛软件的恶意软件家族。木马病毒会隐藏在传播它的恶意应用程序使用的广告框架中,或者这些框架聚合并提供应用程序内广告.安装带有Joker的应用程序后,他们会显示一个“启动画面”,其中会显示应用程序徽标,以便在后台执行各种恶意进程时转储受害者,例如窃取短信和联系人列表,以及执行广告欺诈并在人们不知情的情况下注册订阅。“没有像#Joker这样的网络视图,只有http请求,”他发推文说。“它在C2地址检索JSON(Java脚本对象表示法):68.183.219.190/pER/y,”Ingrao在一条推文中谈到Autolycos。在远程浏览器上执行URL并返回结果以包含在请求中。”Malwarebytes的Artnz在他的帖子中进一步解释了差异。他写道,而Joker使用网络视图或一段网络内容,例如“a应用程序屏幕的一小部分、整个页面或介于两者之间的任何内容,”为了实现其目标,Autolycos通过远程浏览Web来实现这一点。通过在服务器上执行URL并将结果包含在HTTP请求中来避免这种情况。这帮助Autolycos比原来的Joker更巧妙地逃避检测,Artnz说:“不需要WebView大大降低了受影响设备的用户注意到发生可疑事情的可能性,”他写道。发现和删除应用程序的延迟时间Ingrao发现了八个应用程序在Autolycos上有:VlogStarVideoEditor(com.vlog.star.video.editor)-100万次下载。Creative3DLauncher(app.launcher.creative3d)-100万次下载。WowBeautyCamera(com.wowbeauty.camera)-100,000天下载。Gif表情符号键盘(com.gif.emoji.keyboard)-100,000次下载。FreeglowCamera1.0.0(com.glow.camera.open)-5000次下载。CocoCamerav1.1(com.toomore.cool.camera)-1000次下载。KellyTech的FunnyCamera-500,000次下载。rxcheldiolola的Razer键盘和主题-50,000次下载。虽然Ingrao在2021年7月发现了这些违规应用程序并立即向谷歌报告,但他告诉BleepingComputer该公司花了六个月的时间才删除了其中六个应用程序。此外,据Malwarebytes称,谷歌直到7月13日才最终删除最后两个。Artnz批评了发现和删除之间的滞后时间,尽管他没有推测原因,只是指出“API的占用空间小和屏蔽的使用必须使得很难在众多应用程序中找到恶意应用程序可以在GooglePlay商店中找到。Artnz写道:“如果研究人员没有公开它,[恶意应用程序]可能仍然可用,因为他说他已经厌倦了等待。”谷歌没有立即回应周一的评论请求。事实上,该公司在努力将恶意应用程序(尤其是Wooware)从Android平台的移动应用程序商店中移除方面有着悠久的历史。本文翻译自:https://threatpost.com/google-boots-malware-marketplace/180241/如有转载请注明原文地址。
