谷歌已從其Google Play商店中刪除了八個正在傳播Joker間諜軟件新變體的應(yīng)用程序，但在此之前，它們已經(jīng)獲得了超過300萬次下載。

根據(jù)網(wǎng)絡(luò)安全公司Evina的法國安全研究員Maxime Ingrao上周在推特上發(fā)布的一篇帖子內(nèi)容，其聲稱他發(fā)現(xiàn)了一種他稱之為Autolycos的惡意軟件。該惡意軟件可以訂閱用戶優(yōu)質(zhì)服務(wù)并訪問用戶的短信。這種類型的惡意軟件——即惡意應(yīng)用程序在用戶不知情或未經(jīng)用戶同意收取付款費(fèi)用的情況下訂閱優(yōu)質(zhì)服務(wù)——被稱為收費(fèi)欺詐惡意軟件，或者更常見的說法是羊毛軟件。

Ingrao說，自2021年6月以來，他在網(wǎng)站上發(fā)現(xiàn)了八個傳播Autolycos的應(yīng)用程序，下載量增加了數(shù)百萬次。他說，Autolycos背后的網(wǎng)絡(luò)犯罪分子正在使用Facebook頁面并在Facebook和Instagram上投放廣告來宣傳惡意軟件。

Ingrao在描述惡意軟件如何工作的一系列后續(xù)帖子中寫道：“例如，Razer Keyboard & Theme惡意軟件就有74個廣告活動。”

Joker再次盛行

Ingrao將惡意軟件與Joker軟件進(jìn)行了比較，Joker是2019年發(fā)現(xiàn)的間諜軟件，除進(jìn)行其他的邪惡活動外，該軟件還秘密訂閱了人們的優(yōu)質(zhì)服務(wù)并竊取短信。

事實(shí)上，經(jīng)過進(jìn)一步檢查，來自Malwarebytes的研究人員認(rèn)為惡意軟件是Joker的新變體——Malwarebytes在Ingrao披露一天后發(fā)表的一篇帖子中表示，Malwarebytes被智能研究員Pieter Artnz稱之為“Android/Trojan.Spy.Joker-Malwarebytes”。

據(jù)Malwarebytes稱，Joker是第一個專門生產(chǎn)羊毛軟件的惡意軟件家族。特洛伊木馬病毒將隱藏在傳播它的惡意應(yīng)用程序使用的廣告框架中或者這些框架匯總和服務(wù)應(yīng)用程序內(nèi)廣告。

安裝帶有Joker的應(yīng)用程序后，它們將顯示一個“飛濺”屏幕，該屏幕將顯示應(yīng)用程序徽標(biāo)，以拋棄受害者，同時在后臺執(zhí)行各種惡意流程，例如竊取短信和聯(lián)系人列表，以及執(zhí)行廣告欺詐和在人們不知情的情況下注冊訂閱。

執(zhí)行的差異

然而，Ingrao指出了原始Joker和Autolycos之間的一個區(qū)別?！睕]有像#Joker這樣的網(wǎng)絡(luò)視圖，只有http請求，”他在推特上寫道。

Ingrao在一條推文中談到Autolycos時說：“它在C2地址上檢索JSON（Java腳本對象符號）：68.183.219.190/pER/y?！薄叭缓?，它執(zhí)行URL，在某些步驟中，它在遠(yuǎn)程瀏覽器上執(zhí)行URL，并返回結(jié)果將其包含在請求中?！?/p>

Malwarebytes的Artnz在他的帖子中也進(jìn)一步解釋了這種差異。他寫道，雖然Joker使用網(wǎng)絡(luò)視圖或一段網(wǎng)絡(luò)內(nèi)容，例如“應(yīng)用程序屏幕的一小部分、整個頁面或介于兩者之間的任何東西”來實(shí)現(xiàn)它攻擊的目的，但Autolycos通過在遠(yuǎn)程瀏覽器上執(zhí)行URL，然后在HTTP請求中包含結(jié)果來避免這種情況。

Artnz說，這有助于Autolycos比最初的Joker更熟練地逃避檢測。他寫道：“不需要WebView大大降低了受影響設(shè)備的用戶注意到正在發(fā)生可疑事情的可能性。”

發(fā)現(xiàn)和應(yīng)用程序刪除的滯后時間

Ingrao發(fā)現(xiàn)Autolycos的八個應(yīng)用程序是：

• Vlog Star視頻編輯器（com.vlog.star.video.editor）-100萬次下載。
• Creative 3D Launcher（app.launcher.creative3d）-100萬次下載。
• 哇，美容相機(jī)（com.wowbeauty.camera）-10萬次下載。
• Gif表情符號鍵盤（com.gif.emoji.keyboard）-10萬次下載。
• Freeglow Camera 1.0.0（com.glow.camera.open）-5000次下載。
• Coco Camera v1.1（com.toomore.cool.camera）-1000次下載。
• KellyTech的Funny Camera - 50萬次下載。
• rxcheldiolola的Razer鍵盤和主題-50,000次下載。

雖然Ingrao于2021年7月發(fā)現(xiàn)了這些違規(guī)應(yīng)用程序，并迅速向谷歌報(bào)告了它們，但他告訴BleepingComputer，該公司花了六個月的時間才刪除了其中六個應(yīng)用程序。此外，根據(jù)Malwarebytes的數(shù)據(jù)，谷歌直到7月13日才最終刪除了最后兩個。

Artnz批評了發(fā)現(xiàn)和刪除之間的滯后時間，盡管他沒有推測原因，只是指出“API的狹小足跡和掩蓋的使用必須使在Google Play商店中可以找到的眾多應(yīng)用程序中很難找到惡意應(yīng)用程序?！?/p>

Artnz寫道：“如果研究人員沒有公開，[惡意應(yīng)用程序]可能仍然可用，因?yàn)樗f他厭倦了等待。”

谷歌周一沒有立即回復(fù)置評請求。事實(shí)上，該公司有一段傳奇的歷史，一直在努力將惡意應(yīng)用程序（特別是羊毛軟件）從Android平臺的移動應(yīng)用程序商店中保留。

本文翻譯自：https://threatpost.com/google-boots-malware-marketplace/180241/如若轉(zhuǎn)載，請注明原文地址。