“小丑”-让你注册昂贵服务的恶意软件-充斥着Android市场

2020-09-29 07:29:44

安全公司的研究人员表示,9月份是恶意Android应用程序忙碌的一个月,仅一个恶意软件家族就有数十个应用程序泛滥Google Play或第三方市场。

这个被称为Joker的恶意应用家族自2016年末以来一直在攻击Android用户,最近已经成为最常见的Android威胁之一。一旦安装,小丑应用程序就会秘密向用户订阅昂贵的订阅服务,还可以窃取短信、联系人列表和设备信息。去年7月,研究人员表示,他们发现小丑潜伏在从Play下载了约50万次的11个看似合法的应用程序中。

上周晚些时候,安全公司Zscaler的研究人员表示,他们发现了一批新的应用程序,其中包括17个受小丑污染的应用程序,下载量为12万次。这些应用程序被上传,在9月份的过程中逐渐播放。与此同时,安全公司Zimperium周一报告称,该公司研究人员在9月份发现了64个新的Joker变体,其中大部分或全部是在第三方应用商店中播种的。

正如ZDNet指出的那样,来自安全公司Pradeo和Anquanke的研究人员分别在本月和7月发现了更多的小丑疫情。安泉科表示,自2016年12月首次曝光以来,已经发现了超过1.3万个样本。

“Joker是持续攻击Android设备的最突出的恶意软件家族之一,”Zscaler研究员Virus Gandhi在上周的帖子中写道。尽管意识到了这种特殊的恶意软件,但它通过改变代码、执行方法或有效载荷检索技术,不断进入谷歌的官方应用程序市场。

小丑成功的关键之一是它迂回的攻击方式。这些应用程序是合法应用程序的山寨产品,当从Play或不同的市场下载时,除了“Dropper”之外,不包含任何恶意代码。在延迟几个小时甚至几天之后,被严重混淆并只包含几行代码的Dropper下载一个恶意组件,并将其放入应用程序中。

Zimperium提供了一个流程图,该流程图捕获了每个Joker示例使用的四个轴心点。该恶意软件还使用规避技术将下载组件伪装成良性应用程序,如游戏、墙纸、信使、翻译程序和照片编辑器。

规避技术包括示例中的编码字符串,应用程序将在其中下载dex,这是一个Android原生文件,它包含APK包,可能还会连同其他索引一起下载。索引伪装成mp3.css或.json文件。为了进一步隐藏,Joker使用代码注入来隐藏在手机上已安装的合法第三方软件包(如org.juit.Internal、com.google.android.gms.Dynamite或com.unity3d.player.UnityProvider)中。

Zimperium研究员Aazim Yaswant写道:“这样做的目的是让恶意软件分析师更难发现恶意代码,因为第三方库通常包含大量代码,额外的混淆的存在可能会使发现注入的类的任务变得更加困难。”“此外,使用合法的软件包名称挫败了天真的(封锁列表)尝试,但我们的z9机器学习引擎使研究人员能够安全地检测到上述注入技巧。”

Zscaler的文章详细介绍了三种绕过谷歌应用审查流程的下载后技术:直接下载、一阶段下载和两阶段下载。尽管交付不同,但最终的有效载荷是相同的。一旦应用程序下载并激活了最终有效负载,仿冒应用程序就可以使用用户的短信应用程序注册高级订阅。

谷歌发言人拒绝置评,只是指出,Zscaler报告称,一旦这些应用程序被私下报告,公司就会将其删除。

随着恶意应用程序定期(通常是每周)渗透到游戏中,目前几乎没有迹象表明恶意Android应用程序的祸害会减弱。这意味着这取决于个人最终用户是否要避开Joker这样的应用程序。最好的建议是,首先安装的应用程序要极其保守。一个好的指导原则是选择服务于真正目的的应用程序,并在可能的情况下选择已知实体的开发人员。过去一个月没有使用过的已安装应用程序应该删除,除非有充分的理由保留它们。

使用MalwareBytes、Eset、F-Secure或其他知名制造商的反病毒应用程序也是一种选择,尽管它们也很难检测到Joker或其他恶意软件。