華為應(yīng)用商店中發(fā)現(xiàn)偽裝上架的Joker木馬，已超50萬(wàn)臺(tái)設(shè)備感染

國(guó)外安全公司Doctor Web在發(fā)表的帖子中表示，他們?cè)谌A為應(yīng)用商店AppGallery中發(fā)現(xiàn)了10個(gè)包含惡意應(yīng)用程序Joker的APP。這是繼在Google Play商店發(fā)現(xiàn)Joker木馬后首次在華為應(yīng)用商店中發(fā)現(xiàn)，并且截止他們發(fā)現(xiàn)，這些APP已經(jīng)有超過(guò)50萬(wàn)的用戶下載安裝它們。

Doctor Web是一家1990年成立，為各行業(yè)提供病毒防護(hù)服務(wù)的安全公司。他們的病毒分析師在華為應(yīng)用商店中發(fā)現(xiàn)了10個(gè)帶有Joker木馬的應(yīng)用，這些應(yīng)用偽裝成虛擬鍵盤、攝像頭應(yīng)用、啟動(dòng)器、在線聊天工具、貼紙收集、著色程序和游戲。

這些帶有Joker木馬的應(yīng)用，其中8款由山西快來(lái)拍網(wǎng)絡(luò)技術(shù)有限公司開(kāi)發(fā)，另外2款由名為何斌的開(kāi)發(fā)者開(kāi)發(fā)。

無(wú)法根除的"Joker"

Joker可以說(shuō)是安卓設(shè)備中最著名的惡意軟件之一。上一次是在2019年被谷歌的安全工程師在Google Play應(yīng)用商店中發(fā)現(xiàn)，當(dāng)時(shí)發(fā)現(xiàn)了24個(gè)APP中帶有Joker木馬，當(dāng)時(shí)影響人數(shù)超47萬(wàn)，全球37個(gè)國(guó)家，以印度為首受影響最嚴(yán)重。而且這種軟件會(huì)不斷適應(yīng)新的防護(hù)規(guī)則，即使從Google Play中刪除了這些應(yīng)用，它還是會(huì)不斷突破防御，以各種類型的應(yīng)用出現(xiàn)在在商店中。

帶有Joker的APP功能與其在應(yīng)用商店描述的一致，并且可以正常使用，讓人不會(huì)聯(lián)想到惡意程序，但使用這些軟件將會(huì)授與其一些必須的權(quán)限，這些權(quán)限會(huì)為啟動(dòng)執(zhí)行Joker木馬提供便利。

一旦木馬程序啟動(dòng)，它將遠(yuǎn)程連接C2服務(wù)器，并下載啟動(dòng)其他惡意組件。這些組件會(huì)自動(dòng)為安卓設(shè)備用戶訂閱高級(jí)付費(fèi)服務(wù)。這些APP請(qǐng)求的訪問(wèn)通知權(quán)限會(huì)讓它攔截帶有訂閱確認(rèn)代碼，并模仿用戶交互確認(rèn)訂閱。

正常應(yīng)用會(huì)限制用戶訂閱高級(jí)服務(wù)的數(shù)量，但當(dāng)Joker運(yùn)行之后它可以自行更改增加或減少限制的數(shù)量。

此次Joker出現(xiàn)在華為應(yīng)用商店AppGallery中也很有可能意味著，在出現(xiàn)徹底解決該木馬程序的方法出現(xiàn)之前，它可能會(huì)不斷的以各種外表偽裝出現(xiàn)。

目前，Doctor Web已經(jīng)向華為報(bào)告了這一問(wèn)題，并將AppGallery中出現(xiàn)的惡意程序刪除。但已經(jīng)下載了這些程序的用戶只能自己手動(dòng)將其刪除。