近期,钻研人员发现数十个运行程序经过虚构市场流传 Joker、Facestealer 和 Coper 等恶意软件。据 TheHackerNews网站披露,Google 已从官网 Play 商店中下架了这些欺诈性运行程序。
钻研人员 Viral Gandhi 和 Himanshu Sharma 在周一的报告中示意,Joker 是针对 Android 设施最驰名的恶意软件家族之一,Zscaler ThreatLabz 和 Pradeo 的最新发现也证实了这一点。
虽然群众对Joker这种不凡的恶意软件曾经有所了解,但是它经过活期修正恶意软件的跟踪签名(包括更新代码、口头方法和有效载荷检索技术)始终寻觅进入谷歌官网运行商店的路径。
对于 Joker
Joker 又名 Bread ,被归类为 fleeceware,旨在为用户订阅不须要的付费服务或拨打初级号码,同时还搜集用户的短信、咨询人名单和设施信息,于 2017 年终次在 Play Store 中被发现。目前,两家网络安保公司共发现了 53 个 Joker 下载器运行程序,这些运行累计下载量超越了 33 万次。
这些运行程序普统统过混充短信、照片编辑器、血压计、表情符号键盘和翻译运行程序的方式出现,一旦用户装置后,运行程序又要求优化设施的权限来启动其它操作。
钻研人员经过分析发现 Joker恶意软件驳回了新的战略绕过检测,Joker 开发人员不会等着运行程序取得指定数量的装置和评论后,再改换带有恶意软件的版本,而是经常使用商业打包程序将恶意负载暗藏在通用资产文件和打包运行程序中。
恶意软件感化许多运行程序
值得一提的是,运行商店不只仅出现了 Joker。安保钻研员 Maxime Ingrao 上周披露了八款运行程序,其中含有名为 Autolycos 的恶意软件的不同变体。在存在了六个多月之后才从运行程序商店中删除,此时其下载量总计曾经超越了 30 万次。
Malwarebytes 的钻研员 Pieter Arntz 示意,这种类型的恶意软件具备新的特点,它不再须要 WebView,这大大降落了受影响设施的用户留意到出现意外状况的时机。比如 Autolycos 就是经过在远程阅读器上口头 URL,而后将结果归入 HTTP 恳求中,从而防止了 WebView。
运行商店中还发现了嵌入 Facestealer 和 Coper 恶意软件的运行程序,前者使运营商能够窃取用户Facebook 凭据和身份验证令牌, 后者(Exobot 恶意软件的后辈)充任银行木马,可以窃取宽泛的数据。
据悉,Coper 还能够阻拦和发送 SMS 文本信息、收回 USSD(非结构化补充服务数据)恳求以发送信息、键盘记载、锁定/解锁设施屏幕、口头适度攻打、防止卸载以及通常准许攻打者控制和口头命令经过与 C2 主机的远程衔接在受感化的设施上。
与其余银行木马一样,Coper 恶意软件会滥用 Android 上的可访问权限来齐全控制受益者的手机。 Facestealer 和 Coper 感化的运行程序列表如下 :
最后提示广阔用户,要从正轨的运行商店下载运行程序,经过审核开发商信息、阅读评论和细心审核其隐衷政策来验证其非法性,并且倡导用户不要给运行授予不用要的权限。