【安全资讯】50万台华为安卓设备感染Joker恶意软件

安全公司Doctor Web在4月7日发布的报告中表示，他们在华为应用商店AppGallery中发现了10个包含Joker恶意软件的APP，目前已有超过50万名华为用户下载安装这些APP。

这些看似正常的APP伪装成虚拟键盘、摄像头应用、启动器、在线聊天工具、贴纸收集、着色程序和游戏。而这些APP实则上包含了连接恶意命令和控制服务器以接收配置和其他组件的代码。

研究人员说，和被感染的应用程序在AppGallery中下载的相同模块一样，该模块也存在于其他版本的Joker恶意软件所感染的Google Play的其他应用程序中。

Joker可以说是安卓设备中最著名的恶意软件之一。上一次是在2019年被谷歌的安全工程师在Google Play应用商店中发现，当时发现了24个APP中带有Joker木马，当时影响人数超47万，全球37个国家，以印度为首受影响最严重。而且这种软件会不断适应新的防护规则，即使从Google Play中删除了这些应用，它还是会不断突破防御，以各种类型的应用出现在在商店中。

带有Joker的APP功能与其在应用商店描述的一致，并且可以正常使用，让人不会联想到恶意程序，但使用这些软件将会授与其一些必须的权限，这些权限会为启动执行Joker木马提供便利。

一旦木马程序启动，它将远程连接C2服务器，并下载启动其他恶意组件。这些组件会自动为安卓设备用户订阅高级付费服务。这些APP请求的访问通知权限会让它拦截带有订阅确认代码，并模仿用户交互确认订阅。

正常应用会限制用户订阅高级服务的数量，但当Joker运行之后它可以自行更改增加或减少限制的数量。此次Joker出现在华为应用商店AppGallery中也很有可能意味着，在出现彻底解决该木马程序的方法出现之前，它可能会不断的以各种外表伪装出现。

结论：

Doctor Web向华为汇报了这些恶意的应用程序，该公司已经将其从AppGallery中删除。尽管新用户无法再下载它们，但是已经安装的用户需要手动卸载。