華為應(yīng)用商店中發(fā)現(xiàn)偽裝上架的Joker木馬，已超50萬臺設(shè)備感染

國外安全公司Doctor Web在發(fā)表的帖子中表示，他們在華為應(yīng)用商店AppGallery中發(fā)現(xiàn)了10個(gè)包含惡意應(yīng)用程序Joker的APP。這是繼在Google Play商店發(fā)現(xiàn)Joker木馬后首次在華為應(yīng)用商店中發(fā)現(xiàn)，并且截止他們發(fā)現(xiàn)，這些APP已經(jīng)有超過50萬的用戶下載安裝它們。

Doctor Web是一家1990年成立，為各行業(yè)提供病毒防護(hù)服務(wù)的安全公司。他們的病毒分析師在華為應(yīng)用商店中發(fā)現(xiàn)了10個(gè)帶有Joker木馬的應(yīng)用，這些應(yīng)用偽裝成虛擬鍵盤、攝像頭應(yīng)用、啟動器、在線聊天工具、貼紙收集、著色程序和游戲。

這些帶有Joker木馬的應(yīng)用，其中8款由山西快來拍網(wǎng)絡(luò)技術(shù)有限公司開發(fā)，另外2款由名為何斌的開發(fā)者開發(fā)。

無法根除的"Joker"

Joker可以說是安卓設(shè)備中最著名的惡意軟件之一。上一次是在2019年被谷歌的安全工程師在Google Play應(yīng)用商店中發(fā)現(xiàn)，當(dāng)時(shí)發(fā)現(xiàn)了24個(gè)APP中帶有Joker木馬，當(dāng)時(shí)影響人數(shù)超47萬，全球37個(gè)國家，以印度為首受影響最嚴(yán)重。而且這種軟件會不斷適應(yīng)新的防護(hù)規(guī)則，即使從Google Play中刪除了這些應(yīng)用，它還是會不斷突破防御，以各種類型的應(yīng)用出現(xiàn)在在商店中。

帶有Joker的APP功能與其在應(yīng)用商店描述的一致，并且可以正常使用，讓人不會聯(lián)想到惡意程序，但使用這些軟件將會授與其一些必須的權(quán)限，這些權(quán)限會為啟動執(zhí)行Joker木馬提供便利。

一旦木馬程序啟動，它將遠(yuǎn)程連接C2服務(wù)器，并下載啟動其他惡意組件。這些組件會自動為安卓設(shè)備用戶訂閱高級付費(fèi)服務(wù)。這些APP請求的訪問通知權(quán)限會讓它攔截帶有訂閱確認(rèn)代碼，并模仿用戶交互確認(rèn)訂閱。

正常應(yīng)用會限制用戶訂閱高級服務(wù)的數(shù)量，但當(dāng)Joker運(yùn)行之后它可以自行更改增加或減少限制的數(shù)量。

此次Joker出現(xiàn)在華為應(yīng)用商店AppGallery中也很有可能意味著，在出現(xiàn)徹底解決該木馬程序的方法出現(xiàn)之前，它可能會不斷的以各種外表偽裝出現(xiàn)。

目前，Doctor Web已經(jīng)向華為報(bào)告了這一問題，并將AppGallery中出現(xiàn)的惡意程序刪除。但已經(jīng)下載了這些程序的用戶只能自己手動將其刪除。