最近,研究人员发现数十个应用程序通过虚拟市场传播恶意软件,例如Joker、Facestealer和Coper。据TheHackerNews网站报道,谷歌已经从官方Play商店中移除了这些欺诈性应用。人们普遍认为AndroidAppStore是查找和安装这些欺诈性应用程序的源头,但研究人员发现,攻击者正在想方设法绕过Google设置的安全屏障,并引诱毫无戒心的用户下载恶意软件应用程序。研究人员ViralGandhi和HimanshuSharma在周一的一份报告中表示,Joker是最著名的针对Android设备的恶意软件家族之一,ZscalerThreatLabz和Pradeo的最新发现证明了这一点。尽管公众对这种特殊的恶意软件有所了解,但Joker通过定期修改恶意软件的跟踪签名(包括更新的代码、执行方法和有效负载检索技术),不断找到进入Google官方应用程序商店的途径。关于JokerJoker,也称为Bread,被归类为抓人软件,旨在为用户订阅不需要的付费服务或拨打付费号码,同时还会收集用户的短信、联系人列表和设备信息。它于2017年首次在Play商店上架。发现。迄今为止,两家网络安全公司共识别出53个Joker下载应用程序,累计下载量超过330,000次。这些应用程序通常以短信、照片编辑器、血压监测器、表情符号键盘和翻译应用程序的形式出现,一旦被用户安装,这些应用程序就需要提升设备权限才能进行其他操作。经过分析,研究人员发现Joker恶意软件使用了一种新的策略来绕过检测。Joker开发人员使用商业打包程序,而不是等待应用程序获得指定数量的安装和评论,然后再替换充满恶意软件的版本。在常见的资产文件和打包的应用程序中隐藏恶意负载。恶意软件感染许多应用程序值得一提的是,应用程序商店中不仅有Joker。安全研究员MaximeIngrao上周披露了八款应用程序,其中包含名为Autolycos的恶意软件的不同变体。它在存在6个多月后才从应用商店中删除,此时它的总下载量超过300,000次。Malwarebytes的研究员PieterArntz表示,这种类型的恶意软件有一个新特性,即它不再需要WebView,这大大降低了受影响设备的用户注意到异常情况发生的机会。例如,Autolycos通过在远程浏览器上执行URL然后将结果包含在HTTP请求中来避免WebView。在应用程序商店中也发现了嵌入了Facestealer恶意软件的应用程序,它使运营商能够窃取用户的Facebook凭据和身份验证令牌,以及充当银行木马并可以窃取广泛数据的Coper恶意软件。众所周知,Coper还能够拦截和发送SMS文本消息、发出USSD(非结构化补充服务数据)请求以发送消息、键盘记录、锁定/解锁设备屏幕、执行顶级攻击、防止卸载以及通常允许攻击者通过远程连接到C2服务器来控制和执行受感染设备上的命令。与其他银行木马一样,Coper恶意软件滥用Android上的可访问权限来完全控制受害者的手机。被Facestealer和Coper感染的应用列表如下:VanillaCamera(cam.vanilla.snapp)UniccQRScanner(com.qrdscannerratedx)最后提醒用户到正规应用商店下载应用,查看开发者信息,阅读Review和仔细检查其隐私政策以验证其合法性,并建议用户不要向该应用授予不必要的权限。
