臭名昭著的Joker惡意軟件，可在未經用戶同意的情況下訂閱許多增值服務。以色列網絡安全公司Check Point的安全研究人員發現，幕後開發者對這些應用的代碼機型了修改，以繞過Play商店的安全性審查。慶幸的是，谷歌已經註意到了此事，並於近日在Play商店中剔除了11款帶有Joker惡意軟件的Android應用。

Check Point 指出，這些應用侵犯了用戶隱私、能夠下載更多惡意軟件到受感染的設備、甚至在未經用戶知情或同意的情況下訂閱增值付費服務。

作為Android 上最臭名昭著的惡意軟件之一，黑客對代碼進行了微小的改動，而後一直在谷歌官方應用市場招搖過市。

儘管谷歌已從Play 商店剔除了這11 款帶有Joker 惡意軟件的應用，但除非用戶手動卸載，某則它們是不會從受害者的設備中移除的。

安全研究人員指出，Joker 的幕後主使者採用了威脅傳統PC 環境的一項古老技術，並將之運用到了移動App 世界中，以避免被谷歌檢出。

為扣取用戶的增值訂閱費用，Joker 使用了通知偵聽服務和動態dex 文件這兩個主要組件，後者依賴於命令與控制服務器來執行服務的註冊。

起初，負責與服務器端進行通信並下載的動態dex 文件代碼位於main classes.dex 中。但之後，初始classes.dex 文件的功能中已包含了加載新的有效負載。

此外，惡意軟件開發者可將惡意代碼動態地隱藏於dex文件中，同時仍可確保其能被加載（Windows PC平台上眾所周知的一項惡意軟件開發技術），以避免被系統給檢測到。

而後，新變體也將惡意dex 文件隱藏為Base64 編碼的字符串，通過讀取字符串對其進行解碼，然後加載並映射感染設備，從而將應用程序內部的惡意dex 文件隱藏起來。

這11 款惡意Android 應用的列表如下：

com.imagecompress.android

com.relax.relaxation.androidsms

com.cheery.message.sendsms

com.peason.lovinglovemessage

com.contact.withme.texts

com.hmvoice.friendsms (twice)

com.file.recovefiles

com.LPlocker.lockapps

com.remindme.alram

com.training.memorygame

Check Point安全研究人員建議，用戶應在下載前檢查所有應用程序。若懷疑設備已下載了受感染的文件，則應立即將其卸載、檢查手機和信用卡賬單上是否有任何意料之外的支出。

據悉，谷歌已於過去30 天內第三次對惡意軟件展開了清理行動。不過在手機上安裝反病毒軟件，依然是一項有助於防止系統被感染的重要措施。