Joker惡意軟件感染超過50萬台華為Android設備
超過50萬名華為用戶從該公司的官方Android商店AppGallery下載了感染Joker惡意軟件的應用,訂閱了高級移動服務。研究人員在AppGallery中發現了10個看似無害的應用,這些應用含有連接到惡意命令和控制服務器以接收配置和附加組件的代碼。
反病毒廠商Doctor Web的一份報告指出,這些惡意應用保留了其宣傳的功能,但下載的組件可以讓用戶訂閱高級移動服務。為了讓用戶無法察覺,受感染的應用程序要求訪問通知,這使得他們能夠攔截訂閱服務通過短信傳遞的確認代碼。
據研究人員介紹,該惡意軟件最多可以為一個用戶訂閱五項服務,不過威脅行為人可以隨時修改這一限制。惡意應用程序的清單包括虛擬鍵盤、相機應用程序、啟動器、在線信使、貼紙收集、著色程序和遊戲。
其中大部分來自一個開發商,兩個來自不同的開發商。這十款應用被超過53.8萬名華為用戶下載。這些應用告知華為,該公司從AppGallery中刪除了這些應用。雖然新用戶不能再下載它們,但已經在設備上運行這些應用的用戶需要進行手動清理。
研究人員表示,AppGallery中被感染的應用程序下載的相同模塊也存在於Google Play上的其他應用程序中,被其他版本的Joker惡意軟件使用。完整的被感染應用列表可在這裡獲得。一旦激活,惡意軟件就會與其遠程服務器通信,以獲取配置文件,其中包含任務列表、高級服務的網站、模擬用戶交互的JavaScript。
Joker惡意軟件的歷史最早可以追溯到2017年,並不斷在通過Google Play商店分發的應用中找到它的踪跡。2019年10月,卡巴斯基的安卓惡意軟件分析師Tatyana Shishkova在推特上發布了70多個被入侵的應用,這些應用已經進入了官方商店。
而關於Google Play中惡意軟件的報導也不斷出現。2020年初,谷歌宣布,自2017年以來,已經刪除了約1700個感染了Joker的應用。去年2月,Joker仍然存在於商店中,即使在去年7月,它也繼續從谷歌的防禦系統中溜走。