華為應用商店中發(fā)現(xiàn)偽裝上架的Joker木馬，已超50萬臺設備感染

國外安全公司Doctor Web在發(fā)表的帖子中表示，他們在華為應用商店AppGallery中發(fā)現(xiàn)了10個包含惡意應用程序Joker的APP。這是繼在Google Play商店發(fā)現(xiàn)Joker木馬后首次在華為應用商店中發(fā)現(xiàn)，并且截止他們發(fā)現(xiàn)，這些APP已經有超過50萬的用戶下載安裝它們。

Doctor Web是一家1990年成立，為各行業(yè)提供病毒防護服務的安全公司。他們的病毒分析師在華為應用商店中發(fā)現(xiàn)了10個帶有Joker木馬的應用，這些應用偽裝成虛擬鍵盤、攝像頭應用、啟動器、在線聊天工具、貼紙收集、著色程序和游戲。

這些帶有Joker木馬的應用，其中8款由山西快來拍網絡技術有限公司開發(fā)，另外2款由名為何斌的開發(fā)者開發(fā)。

無法根除的"Joker"

Joker可以說是安卓設備中最著名的惡意軟件之一。上一次是在2019年被谷歌的安全工程師在Google Play應用商店中發(fā)現(xiàn)，當時發(fā)現(xiàn)了24個APP中帶有Joker木馬，當時影響人數(shù)超47萬，全球37個國家，以印度為首受影響最嚴重。而且這種軟件會不斷適應新的防護規(guī)則，即使從Google Play中刪除了這些應用，它還是會不斷突破防御，以各種類型的應用出現(xiàn)在在商店中。

帶有Joker的APP功能與其在應用商店描述的一致，并且可以正常使用，讓人不會聯(lián)想到惡意程序，但使用這些軟件將會授與其一些必須的權限，這些權限會為啟動執(zhí)行Joker木馬提供便利。

一旦木馬程序啟動，它將遠程連接C2服務器，并下載啟動其他惡意組件。這些組件會自動為安卓設備用戶訂閱高級付費服務。這些APP請求的訪問通知權限會讓它攔截帶有訂閱確認代碼，并模仿用戶交互確認訂閱。

正常應用會限制用戶訂閱高級服務的數(shù)量，但當Joker運行之后它可以自行更改增加或減少限制的數(shù)量。

此次Joker出現(xiàn)在華為應用商店AppGallery中也很有可能意味著，在出現(xiàn)徹底解決該木馬程序的方法出現(xiàn)之前，它可能會不斷的以各種外表偽裝出現(xiàn)。

目前，Doctor Web已經向華為報告了這一問題，并將AppGallery中出現(xiàn)的惡意程序刪除。但已經下載了這些程序的用戶只能自己手動將其刪除。