9月,有数十种Joker恶意软件变种进入Google Play和第三方应用商店。
在Google Play和第三方应用商店中,越来越多的Joker Android恶意软件变种正在出现,研究人员说,这一趋势表明,对Android移动平台的目标是无情的。
Zscaler的研究人员发现,在9月期间,有17种不同的Joker示例已定期上传到Google Play。该公司表示,这些文件总共下载了12万次。
同时,Zimperium分析师表示,他们每天都在用户设备上发现恶意应用程序,主要是通过第三方商店,侧加载应用程序和恶意网站来诱骗用户,诱骗用户下载和安装应用程序。总共,仅在九月份,他们就确定了Joker的64个新变体。
Joker恶意软件自2017年以来一直存在-它是一种移动木马,它执行一种计费欺诈行为,研究人员将该恶意软件归类为“ fleeceware”。小丑应用程序将自己宣传为合法应用程序(例如游戏,壁纸,信使,翻译和照片编辑器)。安装后,它们会模拟点击并拦截SMS消息,以使受害者订阅不需要的付费付费服务。这些应用程序还会窃取SMS消息,联系人列表和设备信息。
正如Zimperium指出的那样,恶意的Joker应用通常在官方的Google Play商店之外发现,但 自2019年以来,Joker应用也一直在躲避 Google Play的保护。这主要是因为恶意软件的作者不断对其攻击方法进行微小的更改。
Zscaler的研究人员在最近的博客中表示:“ [Joker]通过采用其代码,执行方法或有效载荷检索技术的变化,不断进入Google的官方应用程序市场。” 他们补充说,他们在Google Play中标记的17个应用已被删除。
新变种:技术细节
根据Zimperium的技术分析,Joker的主要功能是通过加载DEX文件来实现的。DEX文件是可执行文件,其保存格式为包含为Android编写的已编译代码。通常将多个DEX文件压缩到一个.APK包中,该包可作为大多数程序的最终Android应用程序文件。
以Joker为例,应用程序一旦安装,便会连接到URL以接收有效载荷DEX文件,“除了所有小丑都使用POST请求,而其他人则使用GET请求之外,所有小丑之间的内容几乎相同”,根据Zimperium的说法。。
Zimperium研究人员说:“ Joker木马给Android用户带来了更高的风险,因为其用户界面被设计为看起来非常正常并秘密执行恶意活动。” “该木马程序显示屏幕……带有进度条和“正在加载数据……”,但与此同时,它正在连接到第一阶段URL并下载有效负载。”
Zimperium分析师指出,小丑应用还使用代码注入技术来隐藏诸如
org.junit.internal,com.google.android.gms.dynamite或com.unity3d.player.UnityProvider之类的常用软件包名称。
“这样做的目的是使恶意软件分析人员更难发现恶意代码,因为第三方库通常包含大量代码,而且附加的混淆可能使发现注入的类的任务变得更加困难,他们周一在博客中对此进行了解释。“此外,使用合法的程序包名称会击败幼稚的黑名单尝试。”
最近的变体展示了一些新技巧,例如使用AES加密以及将代码注入到Android的“内容提供商”功能中。
Zimperium研究人员说:“为了隐藏与Jokers恶意有关的有趣字符串,特洛伊木马从使用(AES / ECB)解密的资源(/resources/values/strings.xml)中检索加密的字符串。” “ Jokers中的解密机制通常是普通的AES或DES加密,这种加密机制的发展是为了避免混淆加密字符串,从而避免怀疑。”
同时,新的变体还将代码插入内容提供商的功能中,后者是一个Android组件,用于通过query()和delete()之类的功能处理数据库和信息。
显然,Joker仍然是Android用户的祸害。
该公司总结说:“ Zimperium的研究人员每天都在用户设备上发现恶意软件。” “恶意软件不应该存在,但确实存在。此博客文章中报告的样本只是其中的一部分-冰山一角。”