Joker惡意軟件現(xiàn)在可謂臭名昭著了，可在未經(jīng)用戶同意的情況下訂閱許多增值服務(wù)。讓用戶深惡痛絕。

以色列網(wǎng)絡(luò)安全公司 Check Point 的安全研究人員發(fā)現(xiàn)，幕后開發(fā)者對這些應(yīng)用的代碼機型了修改，以繞過 Play 商店的安全性審查。慶幸的是，谷歌已經(jīng)注意到了此事，并于近日在 Play 商店中剔除了 11 款帶有 Joker 惡意軟件的 Android 應(yīng)用。

Check Point 指出，這些應(yīng)用侵犯了用戶隱私、能夠下載更多惡意軟件到受感染的設(shè)備、甚至在未經(jīng)用戶知情或同意的情況下訂閱增值付費服務(wù)。

作為 Android 上最臭名昭著的惡意軟件之一，黑客對代碼進行了微小的改動，而后一直在谷歌官方應(yīng)用市場招搖過市。

盡管谷歌已從 Play 商店剔除了這 11 款帶有 Joker 惡意軟件的應(yīng)用，但除非用戶手動卸載，某則它們是不會從受害者的設(shè)備中移除的。

安全研究人員指出，Joker 的幕后主使者采用了威脅傳統(tǒng) PC 環(huán)境的一項古老技術(shù)，并將之運用到了移動 App 世界中，以避免被谷歌檢出。

為扣取用戶的增值訂閱費用，Joker 使用了通知偵聽服務(wù)和動態(tài) dex 文件這兩個主要組件，后者依賴于命令與控制服務(wù)器來執(zhí)行服務(wù)的注冊。

起初，負(fù)責(zé)與服務(wù)器端進行通信并下載的動態(tài) dex 文件代碼位于 main classes.dex 中。但之后，初始 classes.dex 文件的功能中已包含了加載新的有效負(fù)載。

此外，惡意軟件開發(fā)者可將惡意代碼動態(tài)地隱藏于 dex 文件中，同時仍可確保其能被加載(Windows PC 平臺上眾所周知的一項惡意軟件開發(fā)技術(shù))，以避免被系統(tǒng)給檢測到。

而后，新變體也將惡意 dex 文件隱藏為 Base64 編碼的字符串，通過讀取字符串對其進行解碼，然后加載并映射感染設(shè)備，從而將應(yīng)用程序內(nèi)部的惡意 dex 文件隱藏起來。

這 11 款惡意 Android 應(yīng)用的列表如下：

com.imagecompress.android

com.relax.relaxation.androidsms

com.cheery.message.sendsms

com.peason.lovinglovemessage

com.contact.withme.texts

com.hmvoice.friendsms (twice)

com.file.recovefiles

com.LPlocker.lockapps

com.remindme.alram

com.training.memorygame

Check Point 安全研究人員建議，用戶應(yīng)在下載前檢查所有應(yīng)用程序。若懷疑設(shè)備已下載了受感染的文件，則應(yīng)立即將其卸載、檢查手機和信用卡賬單上是否有任何意料之外的支出。

據(jù)悉，谷歌已于過去 30 天內(nèi)第三次對惡意軟件展開了清理行動。不過在手機上安裝反病毒軟件，依然是一項有助于防止系統(tǒng)被感染的重要措施。