【安全资讯】Joker木马伪装成合法的Android应用在Google Play商店中传播

引言

近日，研究人员在Google Play商店发现了Joker Dropper的新变体。该应用程序是Joker木马的更新版本，可将其他恶意软件下载到用户的设备上，并在用户不知情的情况下订阅高级服务。这款应用直到2021年7月5日都在Google Play商店中供用户下载。尽管Google目前已经在Play商店下架了该应用程序，但该应用程序已经有500多次安装。攻击者不断对应用程序和有效负载进行轻微修改，从而使该恶意软件能够逃避Google Play商店的检测。攻击者在此变种中更改了执行方法，在代码中应用了复杂的混淆，并且使用了不同的有效负载检索技术。

简况

研究人员最初是从 Google Play 商店中发现的该恶意软件，攻击者将恶意软件伪装成一个“QR Scanner Free”合法应用程序，如下图：

Joker 恶意软件开发者不断修改应用程序以逃避检测，这些更改包括执行方法和使用不同的有效负载检索技术。Joker木马的新变种采用了动态代码加载 (DCL) 和反射技术，帮助攻击者将恶意文件放到受害者的设备上。一旦文件被受害者安装并启动，恶意应用程序就会与命令和控制服务器建立连接，并投放木马。这些技术可以隐藏恶意功能，防止恶意软件在应用程序的静态分析期间被检测到。此外，该应用程序还使用了无线应用协议 (WAP) 计费服务中使用的通用加密技术来避免检测。该应用程序的恶意功能如下：

 

研究人员发现，攻击者使用了名为“Ferry”的类，该类具有读取受害者设备收到的通知（包括短信）的能力，并在用户不知情的情况下取消通知。攻击者在用户不知情的情况下订阅了多个高级付费服务，这些订阅服务按日、周或月向受害者收费，攻击者从而获得金钱利益。 Joker恶意软件最终会窃取短信、设备信息、联系方式，还能够在受害者不知情的情况下从用户的银行账户中窃取资金。

建议

研究人员向用户提出以下建议：

1.及时更新防病毒软件以检测和删除恶意软件。

2.如果在设备中发现此恶意软件，请卸载该应用程序。

3.使用强密码并启用双因素身份验证。

4.仅从受信任的站点和官方应用程序商店下载和安装软件。