谷歌已从其Google Play商店中删除了八个正在传播Joker间谍软件新变体的应用程序,但在此之前,它们已经获得了超过300万次下载。
根据网络安全公司Evina的法国安全研究员Maxime Ingrao上周在推特上发布的一篇帖子内容,其声称他发现了一种他称之为Autolycos的恶意软件。该恶意软件可以订阅用户优质服务并访问用户的短信。这种类型的恶意软件——即恶意应用程序在用户不知情或未经用户同意收取付款费用的情况下订阅优质服务——被称为收费欺诈恶意软件,或者更常见的说法是羊毛软件。
Ingrao说,自2021年6月以来,他在网站上发现了八个传播Autolycos的应用程序,下载量增加了数百万次。他说,Autolycos背后的网络犯罪分子正在使用Facebook页面并在Facebook和Instagram上投放广告来宣传恶意软件。
Ingrao在描述恶意软件如何工作的一系列后续帖子中写道:“例如,Razer Keyboard & Theme恶意软件就有74个广告活动。”
Ingrao将恶意软件与Joker软件进行了比较,Joker是2019年发现的间谍软件,除进行其他的邪恶活动外,该软件还秘密订阅了人们的优质服务并窃取短信。
事实上,经过进一步检查,来自Malwarebytes的研究人员认为恶意软件是Joker的新变体——Malwarebytes在Ingrao披露一天后发表的一篇帖子中表示,Malwarebytes被智能研究员Pieter Artnz称之为“Android/Trojan.Spy.Joker-Malwarebytes”。
据Malwarebytes称,Joker是第一个专门生产羊毛软件的恶意软件家族。特洛伊木马病毒将隐藏在传播它的恶意应用程序使用的广告框架中或者这些框架汇总和服务应用程序内广告。
安装带有Joker的应用程序后,它们将显示一个“飞溅”屏幕,该屏幕将显示应用程序徽标,以抛弃受害者,同时在后台执行各种恶意流程,例如窃取短信和联系人列表,以及执行广告欺诈和在人们不知情的情况下注册订阅。
然而,Ingrao指出了原始Joker和Autolycos之间的一个区别。”没有像#Joker这样的网络视图,只有http请求,”他在推特上写道。
Ingrao在一条推文中谈到Autolycos时说:“它在C2地址上检索JSON(Java脚本对象符号):68.183.219.190/pER/y。”“然后,它执行URL,在某些步骤中,它在远程浏览器上执行URL,并返回结果将其包含在请求中。”
Malwarebytes的Artnz在他的帖子中也进一步解释了这种差异。他写道,虽然Joker使用网络视图或一段网络内容,例如“应用程序屏幕的一小部分、整个页面或介于两者之间的任何东西”来实现它攻击的目的,但Autolycos通过在远程浏览器上执行URL,然后在HTTP请求中包含结果来避免这种情况。
Artnz说,这有助于Autolycos比最初的Joker更熟练地逃避检测。他写道:“不需要WebView大大降低了受影响设备的用户注意到正在发生可疑事情的可能性。”
Ingrao发现Autolycos的八个应用程序是:
Vlog Star视频编辑器(com.vlog.star.video.editor)-100万次下载
Creative 3D Launcher(app.launcher.creative3d)-100万次下载
哇,美容相机(com.wowbeauty.camera)-10万次下载
Gif表情符号键盘(com.gif.emoji.keyboard)-10万次下载
Freeglow Camera 1.0.0(com.glow.camera.open)-5000次下载
Coco Camera v1.1(com.toomore.cool.camera)-1000次下载
KellyTech的Funny Camera - 50万次下载
rxcheldiolola的Razer键盘和主题-50,000次下载。
虽然Ingrao于2021年7月发现了这些违规应用程序,并迅速向谷歌报告了它们,但他告诉BleepingComputer,该公司花了六个月的时间才删除了其中六个应用程序。此外,根据Malwarebytes的数据,谷歌直到7月13日才最终删除了最后两个。
Artnz批评了发现和删除之间的滞后时间,尽管他没有推测原因,只是指出“API的狭小足迹和掩盖的使用必须使在Google Play商店中可以找到的众多应用程序中很难找到恶意应用程序。”
Artnz写道:“如果研究人员没有公开,[恶意应用程序]可能仍然可用,因为他说他厌倦了等待。”
谷歌周一没有立即回复置评请求。事实上,该公司有一段传奇的历史,一直在努力将恶意应用程序(特别是羊毛软件)从Android平台的移动应用程序商店中保留。
参考及来源:https://threatpost.com/google-boots-malware-marketplace/180241/