近期，研究人員發現數十個應用程序通過虛擬市場傳播 Joker、Facestealer 和 Coper 等惡意軟件。據 The Hacker News 網站披露，Google 已從官方 Play 商店中下架了這些欺詐性應用程序。

Android 應用商店被廣泛認為是發現和安裝這些欺詐性應用程序的來源，但是研究人員發現攻擊者正在想方設法繞過谷歌設置的安全屏障，引誘毫無戒心的用戶下載帶有惡意軟件的應用程序。

研究人員  Viral Gandhi 和 Himanshu Sharma 在周一的報告中表示，Joker 是針對 Android 設備最著名的惡意軟件家族之一，Zscaler ThreatLabz 和 Pradeo 的最新發現也證明了這一點。

盡管公眾對 Joker 這種特殊的惡意軟件已經有所了解，但是它通過定期修改惡意軟件的跟蹤簽名（包括更新代碼、執行方法和有效載荷檢索技術）不斷尋找進入谷歌官方應用商店的途徑。

關于 Joker

Joker 又名 Bread ，被歸類為 fleeceware，旨在為用戶訂閱不需要的付費服務或撥打高級號碼，同時還收集用戶的短信、聯系人名單和設備信息，于 2017 年首次在 Play Store 中被發現。目前，兩家網絡安全公司共發現了 53 個 Joker 下載器應用程序，這些應用累計下載量超過了 33 萬次。

這些應用程序一般通過冒充短信、照片編輯器、血壓計、表情符號鍵盤和翻譯應用程序的形式出現，一旦用戶安裝后，應用程序又要求提升設備的權限來進行其它操作。

研究人員經過分析發現 Joker 惡意軟件采用了新的策略繞過檢測，Joker 開發人員不會等著應用程序獲得指定數量的安裝和評論后，再更換帶有惡意軟件的版本，而是使用商業打包程序將惡意負載隱藏在通用資產文件和打包應用程序中。

惡意軟件感染許多應用程序

值得一提的是，應用商店不僅僅出現了 Joker。安全研究員 Maxime Ingrao 上周披露了八款應用程序，其中含有名為  Autolycos 的惡意軟件的不同變體。在存在了六個多月之后才從應用程序商店中刪除，此時其下載量總計已經超過了 30 萬次。

Malwarebytes 的研究員 Pieter Arntz 表示，這種類型的惡意軟件具有新的特點，它不再需要 WebView，這大大降低了受影響設備的用戶注意到發生異常情況的機會。比如 Autolycos 就是通過在遠程瀏覽器上執行 URL，然后將結果納入 HTTP 請求中，從而避免了 WebView。

應用商店中還發現了嵌入 Facestealer 和 Coper 惡意軟件的應用程序，前者使運營商能夠竊取用戶 Facebook 憑據和身份驗證令牌， 后者（Exobot 惡意軟件的后代）充當銀行木馬，可以竊取廣泛的數據。

據悉，Coper 還能夠攔截和發送 SMS 文本消息、發出 USSD（非結構化補充服務數據）請求以發送消息、鍵盤記錄、鎖定/解鎖設備屏幕、執行過度攻擊、防止卸載以及通常允許攻擊者控制和執行命令通過與 C2 服務器的遠程連接在受感染的設備上。

與其他銀行木馬一樣，Coper 惡意軟件會濫用 Android 上的可訪問權限來完全控制受害者的手機。 Facestealer 和 Coper 感染的應用程序列表如下 ：

Vanilla Camera (cam.vanilla.snapp)

Unicc QR掃描器 (com.qrdscannerratedx)

最后提醒廣大用戶，要從正規的應用商店下載應用程序，通過檢查開發商信息、閱讀評論和仔細檢查其隱私政策來驗證其合法性，并且建議用戶不要給應用授予不必要的權限。