主页(http://www.175shouji.com):包含Joker恶意软件的恶意Android应用程序在Google Play上设置了商店
新的恶意软件广告系列已成功渗透到官方Google Play商店,以将Joker木马部署到Android设备,以进行广告欺诈。
上周,来自网络安全威胁情报公司CSIS Security Group的安全研究员Aleksejs Kuprins表示,最近几周已经跟踪了恶意活动的激增,导致发现了24个包含恶意软件的Android应用程序。
总的来说,通过Google Play提供的应用程序已被不知情的Android手机用户安装了47.2万次。
恶意应用程序包含一个由网络安全公司称为Joker的特洛伊木马程序,该名称引用连接到运营商命令和控制(C2)服务器的域名之一。
Joker试图通过尽可能少的JavaScript代码并通过混淆技术锁定其代码来保持在受感染设备上保持沉默和未被发现。在许多情况下,恶意软件已集成在与其恶意应用程序相关联的广告框架中。
恶意代码包含通常的特洛伊木马功能列表,包括窃取SMS消息,联系信息和设备数据,并不断地将C2命令用于命令。然而,Joker通过欺诈性广告活动试图为其运营商创造利润。
Joker能够通过模拟点击并默默地为受害者注册高级服务来与广告网络和网站进行互动。在一个例子中,Joker通过模拟网站点击,自动输入运营商的优惠代码以及从发送到目标设备的SMS消息中提取确认代码,在丹麦注册了一个高级网站服务用户,每周花费大约7欧元。然后将这些代码提交给广告网站以完成该过程。
在其他情况下,恶意软件可能只是向高级号码发送SMS消息。
每个欺诈性的“工作”都是从C2收到的,一旦优质服务注册完成,Joker会通知C2并等待进一步的指示。
Joker的运营商专注于37个特定国家作为目标,包括中国,英国,德国,法国,新加坡和澳大利亚。研究人员发现的许多受感染的应用程序都包含一个移动国家/地区代码(MCC)列表,受感染设备上的SIM卡必须与可接受的MCC相关,以便Joker执行。
如果用户在美国或加拿大,大多数这些应用程序将不会部署恶意软件; 但是,其中一小部分不包含任何国家限制。
当谈到Joker的归属时,没有什么是一成不变的,但C2管理面板的界面和一些机器人的编码表明恶意软件的开发者可能是中国人。
虽然安装数量相对较高,但无需向研究人员披露,Google已检测到并从Google Play中删除了所有恶意应用程序。恶意软件蔓延到官方应用程序存储库是一个持续的挑战,但在这种情况下,CSIS安全组织表示,这个技术巨头“似乎尽可能地处于这一威胁之上”。
ZDNet已经联系谷歌征求意见,如果我们收到回复,将会更新。
