Joker(小丑)惡意軟件近年來似乎活動不斷，入侵安卓應(yīng)用商店感染應(yīng)用程序，并不斷升級隱藏和偽裝手段。前有Joker實(shí)施竊聽，后有Joker開展廣告欺詐。

4月12日，Doctor Web的一份報告指出，已有超過50萬名華為用戶從該公司的官方安卓商店下載了已遭Joker惡意軟件感染的應(yīng)用程序，這些應(yīng)用程序訂閱了高級移動服務(wù)。

研究人員在AppGallery中發(fā)現(xiàn)了10個看似正常的應(yīng)用程序，然而，其中卻包含了連接惡意命令和控制服務(wù)器以接收配置和其他組件的代碼。

[[392649]]

功能性應(yīng)用偽裝

殺毒廠商Doctor Web的一份報告指出，惡意應(yīng)用程序保留了其廣告功能，但下載了使用戶訂閱高級移動服務(wù)的組件。

為了讓用戶無法察覺到這些已被感染的應(yīng)用程序請求訪問通知，他們攔截了訂閱服務(wù)的驗(yàn)證碼。根據(jù)研究人員的說法，盡管攻擊者可以隨時修改這個攔截的限制，但該惡意軟件最多只可以使用戶訂閱五項(xiàng)服務(wù)。

感染惡意程序的APP包含虛擬鍵盤、相機(jī)應(yīng)用程序、在線信使、貼紙收集、桌面啟動器、著色程序和游戲等。

資料來源：Doctor Web

Doctor Web研究人員表示，這些應(yīng)用程序已經(jīng)被超過538000名華為用戶下載。

資料來源：Doctor Web

Doctor Web向華為匯報了這些惡意的應(yīng)用程序，該公司已經(jīng)將其從AppGallery中刪除。盡管新用戶無法再下載它們，但是已經(jīng)安裝的用戶需要手動卸載。下表列出了相關(guān)應(yīng)用程序及其包的名稱：

研究人員說，和被感染的應(yīng)用程序在AppGallery中下載的相同模塊一樣，該模塊也存在于其他版本的Joker惡意軟件所感染的Google Play的其他應(yīng)用程序中。

一旦激活，該惡意軟件將會與它的遠(yuǎn)程服務(wù)器通信，并獲取配置文件，該文件包含任務(wù)列表、高級服務(wù)網(wǎng)站、模仿用戶交互的JavaScript。

Joker惡意軟件的歷史可追溯到2017年，通過Google Play商店分發(fā)的應(yīng)用程序中不斷活躍。

卡巴斯基(Kaspersky)的Android惡意軟件分析師Tatyana Shishkova在2019年10月發(fā)布了約70多個被入侵的應(yīng)用程序的推文，這些應(yīng)用程序已將其納入官方商店。

而且有關(guān)Google Play中惡意軟件的報告不斷涌現(xiàn)。2020年初，谷歌宣布自2017年以來，它已刪除了約1700個被Joker感染的應(yīng)用程序。即使在2020年7月，它仍然可以繞過Google的防御。