主页(http://www.175shouji.com):谷歌从市场删除了多个包含恶意软件的Android应用程序
谷歌已从其 Google Play 商店中删除了八个正在传播Joker间谍软件新变体的应用程序,但在此之前,它们已经获得了超过 300 万次下载。
根据网络安全公司Evina的法国安全研究员Maxime Ingrao上周在推特上发布的一篇帖子内容,其声称他发现了一种他称之为 Autolycos 的恶意软件。该恶意软件可以订阅用户优质服务并访问用户的短信。这种类型的恶意软件——即恶意应用程序在用户不知情或未经用户同意收取付款费用的情况下订阅优质服务——被称为收费欺诈恶意软件,或者更常见的说法是羊毛软件。
Ingrao 说,自 2021 年 6 月以来,他在网站上发现了八个传播 Autolycos 的应用程序,下载量增加了数百万次。他说,Autolycos 背后的网络犯罪分子正在使用 Facebook 页面并在 Facebook 和 Instagram 上投放广告来宣传恶意软件。
Ingrao 在描述恶意软件如何工作的一系列后续帖子中写道:" 例如,Razer Keyboard & Theme 恶意软件就有 74 个广告活动。"
Joker 再次盛行
Ingrao 将恶意软件与Joker软件进行了比较,Joker是 2019 年发现的间谍软件,除进行其他的邪恶活动外,该软件还秘密订阅了人们的优质服务并窃取短信。
事实上,经过进一步检查,来自 Malwarebytes 的研究人员认为恶意软件是 Joker 的新变体—— Malwarebytes 在 Ingrao 披露一天后发表的一篇帖子中表示,Malwarebytes 被智能研究员 Pieter Artnz 称之为 "Android/Trojan.Spy.Joker-Malwarebytes"。
据 Malwarebytes 称,Joker是第一个专门生产羊毛软件的恶意软件家族。特洛伊木马病毒将隐藏在传播它的恶意应用程序使用的广告框架中或者这些框架汇总和服务应用程序内广告。
安装带有 Joker 的应用程序后,它们将显示一个 " 飞溅 " 屏幕,该屏幕将显示应用程序徽标,以抛弃受害者,同时在后台执行各种恶意流程,例如窃取短信和联系人列表,以及执行广告欺诈和在人们不知情的情况下注册订阅。
执行的差异
然而,Ingrao 指出了原始 Joker 和 Autolycos 之间的一个区别。" 没有像 #Joker 这样的网络视图,只有 http 请求," 他在推特上写道。
Ingrao 在一条推文中谈到 Autolycos 时说:" 它在 C2 地址上检索 JSON(Java 脚本对象符号):68.183.219.190/pER/y。"" 然后,它执行 URL,在某些步骤中,它在远程浏览器上执行 URL,并返回结果将其包含在请求中。"
Malwarebytes 的 Artnz 在他的帖子中也进一步解释了这种差异。他写道,虽然 Joker 使用网络视图或一段网络内容,例如 " 应用程序屏幕的一小部分、整个页面或介于两者之间的任何东西 " 来实现它攻击的目的,但 Autolycos 通过在远程浏览器上执行 URL,然后在 HTTP 请求中包含结果来避免这种情况。
Artnz 说,这有助于 Autolycos 比最初的 Joker 更熟练地逃避检测。他写道:" 不需要 WebView 大大降低了受影响设备的用户注意到正在发生可疑事情的可能性。"
发现和应用程序删除的滞后时间
Ingrao 发现 Autolycos 的八个应用程序是:
Vlog Star 视频编辑器(com.vlog.star.video.editor)-100 万次下载
Creative 3D Launcher(app.launcher.creative3d)-100 万次下载
哇,美容相机(com.wowbeauty.camera)-10 万次下载
Gif 表情符号键盘(com.gif.emoji.keyboard)-10 万次下载
Freeglow Camera 1.0.0(com.glow.camera.open)-5000 次下载
Coco Camera v1.1(com.toomore.cool.camera)-1000 次下载
KellyTech 的 Funny Camera - 50 万次下载
rxcheldiolola 的 Razer 键盘和主题 -50,000 次下载。
虽然 Ingrao 于 2021 年 7 月发现了这些违规应用程序,并迅速向谷歌报告了它们,但他告诉BleepingComputer,该公司花了六个月的时间才删除了其中六个应用程序。此外,根据 Malwarebytes 的数据,谷歌直到 7 月 13 日才最终删除了最后两个。
Artnz 批评了发现和删除之间的滞后时间,尽管他没有推测原因,只是指出 "API 的狭小足迹和掩盖的使用必须使在 Google Play 商店中可以找到的众多应用程序中很难找到恶意应用程序。"
Artnz 写道:" 如果研究人员没有公开, [ 恶意应用程序 ] 可能仍然可用,因为他说他厌倦了等待。"
谷歌周一没有立即回复置评请求。事实上,该公司有一段传奇的历史,一直在努力将恶意应用程序(特别是羊毛软件)从 Android 平台的移动应用程序商店中保留。
