谷歌已從其Google Play商店中刪除了八個正在傳播Joker間諜軟件新變體的應用程序，但在此之前，它們已經獲得了超過300萬次下載。

根據網絡安全公司Evina的法國安全研究員Maxime Ingrao上周在推特上發(fā)布的一篇帖子內容，其聲稱他發(fā)現了一種他稱之為Autolycos的惡意軟件。該惡意軟件可以訂閱用戶優(yōu)質服務并訪問用戶的短信。這種類型的惡意軟件——即惡意應用程序在用戶不知情或未經用戶同意收取付款費用的情況下訂閱優(yōu)質服務——被稱為收費欺詐惡意軟件，或者更常見的說法是羊毛軟件。

Ingrao說，自2021年6月以來，他在網站上發(fā)現了八個傳播Autolycos的應用程序，下載量增加了數百萬次。他說，Autolycos背后的網絡犯罪分子正在使用Facebook頁面并在Facebook和Instagram上投放廣告來宣傳惡意軟件。

Ingrao在描述惡意軟件如何工作的一系列后續(xù)帖子中寫道：“例如，Razer Keyboard & Theme惡意軟件就有74個廣告活動?！?/p>

Joker再次盛行

Ingrao將惡意軟件與Joker軟件進行了比較，Joker是2019年發(fā)現的間諜軟件，除進行其他的邪惡活動外，該軟件還秘密訂閱了人們的優(yōu)質服務并竊取短信。

事實上，經過進一步檢查，來自Malwarebytes的研究人員認為惡意軟件是Joker的新變體——Malwarebytes在Ingrao披露一天后發(fā)表的一篇帖子中表示，Malwarebytes被智能研究員Pieter Artnz稱之為“Android/Trojan.Spy.Joker-Malwarebytes”。

據Malwarebytes稱，Joker是第一個專門生產羊毛軟件的惡意軟件家族。特洛伊木馬病毒將隱藏在傳播它的惡意應用程序使用的廣告框架中或者這些框架匯總和服務應用程序內廣告。

安裝帶有Joker的應用程序后，它們將顯示一個“飛濺”屏幕，該屏幕將顯示應用程序徽標，以拋棄受害者，同時在后臺執(zhí)行各種惡意流程，例如竊取短信和聯(lián)系人列表，以及執(zhí)行廣告欺詐和在人們不知情的情況下注冊訂閱。

執(zhí)行的差異

然而，Ingrao指出了原始Joker和Autolycos之間的一個區(qū)別?！睕]有像#Joker這樣的網絡視圖，只有http請求，”他在推特上寫道。

Ingrao在一條推文中談到Autolycos時說：“它在C2地址上檢索JSON（Java腳本對象符號）：68.183.219.190/pER/y?！薄叭缓?，它執(zhí)行URL，在某些步驟中，它在遠程瀏覽器上執(zhí)行URL，并返回結果將其包含在請求中?！?/p>

Malwarebytes的Artnz在他的帖子中也進一步解釋了這種差異。他寫道，雖然Joker使用網絡視圖或一段網絡內容，例如“應用程序屏幕的一小部分、整個頁面或介于兩者之間的任何東西”來實現它攻擊的目的，但Autolycos通過在遠程瀏覽器上執(zhí)行URL，然后在HTTP請求中包含結果來避免這種情況。

Artnz說，這有助于Autolycos比最初的Joker更熟練地逃避檢測。他寫道：“不需要WebView大大降低了受影響設備的用戶注意到正在發(fā)生可疑事情的可能性?！?/p>

發(fā)現和應用程序刪除的滯后時間

Ingrao發(fā)現Autolycos的八個應用程序是：

• Vlog Star視頻編輯器（com.vlog.star.video.editor）-100萬次下載。
• Creative 3D Launcher（app.launcher.creative3d）-100萬次下載。
• 哇，美容相機（com.wowbeauty.camera）-10萬次下載。
• Gif表情符號鍵盤（com.gif.emoji.keyboard）-10萬次下載。
• Freeglow Camera 1.0.0（com.glow.camera.open）-5000次下載。
• Coco Camera v1.1（com.toomore.cool.camera）-1000次下載。
• KellyTech的Funny Camera - 50萬次下載。
• rxcheldiolola的Razer鍵盤和主題-50,000次下載。

雖然Ingrao于2021年7月發(fā)現了這些違規(guī)應用程序，并迅速向谷歌報告了它們，但他告訴BleepingComputer，該公司花了六個月的時間才刪除了其中六個應用程序。此外，根據Malwarebytes的數據，谷歌直到7月13日才最終刪除了最后兩個。

Artnz批評了發(fā)現和刪除之間的滯后時間，盡管他沒有推測原因，只是指出“API的狹小足跡和掩蓋的使用必須使在Google Play商店中可以找到的眾多應用程序中很難找到惡意應用程序。”

Artnz寫道：“如果研究人員沒有公開，[惡意應用程序]可能仍然可用，因為他說他厭倦了等待?！?/p>

谷歌周一沒有立即回復置評請求。事實上，該公司有一段傳奇的歷史，一直在努力將惡意應用程序（特別是羊毛軟件）從Android平臺的移動應用程序商店中保留。

本文翻譯自：https://threatpost.com/google-boots-malware-marketplace/180241/如若轉載，請注明原文地址。