谷歌Play Store上又出现了一套添加了Joker特洛伊木马的Android应用程序

据观察，通过Google Play Store传播的一组新的特洛伊木马程序在受损的Android设备上传播臭名昭著的小丑恶意软件。

Joker是一个惯犯，指的是一类用于计费和短信欺诈的有害应用程序，同时还执行恶意黑客选择的一些行为，如窃取短信、联系人列表和设备信息。

尽管谷歌不断尝试扩大防御规模，但这些应用程序一直在不断迭代，以搜索漏洞并潜入应用程序商店而未被发现。

卡巴斯基研究人员Igor Golovin在上周发布的一份报告中表示：“它们通常在Google Play上传播，骗子从商店下载合法应用程序，向其添加恶意代码，然后以不同的名称重新上传到商店。”。

特洛伊木马程序取代了已删除的应用程序，通常显示为消息传递、健康状况跟踪和PDF扫描程序，一旦安装，这些应用程序会请求访问文本消息和通知的权限，并滥用这些权限向用户订阅特优服务。

小丑用来绕过Google Play审查程序的一个诡计是，使其恶意负载处于“休眠”状态，只有在应用程序在Play商店上线后才能激活其功能。

截至2022年2月底，卡巴斯基检测到的三个受小丑感染的应用如下所示。尽管它们已从Google Play中清除，但仍可以从第三方应用程序提供商处获得。

• 消息样式（com.styleCat.messageRound），
• 血压应用程序（血液、maodig、上升、心率、monitorapp、plus、tracker、tool、health）和
• 摄像头PDF扫描仪（com.jiao.hdcam.docscanner）

这不是第一次在应用程序市场上发现订阅特洛伊木马。去年，APKPure应用商店的应用程序和广泛使用的WhatsApp mod被发现被一个名为Triada的恶意软件破坏。

然后在2021 9月，Zimperium揭开了一项名为GriftHorse的激进赚钱计划的序幕，今年1月早些时候又发生了另一起名为Dark Herring的优质服务滥用案件。

Golovin说：“订阅特洛伊木马可以绕过付费服务网站上的机器人检测，有时他们会向用户订阅骗子自己不存在的服务。”。“为了避免不必要的订阅，请避免安装来自非官方来源的应用程序，这是最常见的恶意软件来源。”

即使在从官方应用商店下载应用程序时，也建议用户阅读评论，检查开发者的合法性、使用条款，并仅授予执行预期功能所必需的权限。

Zimperium威胁报告主管理查德·梅里克（RichardMelick）在与《黑客新闻》分享的一份声明中表示：“小丑恶意软件是多年来在安全层和背后的恶意行为者之间发生的猫捉老鼠游戏的一个明显例子。”

“每一次更新都一次又一次地证明，基本的安全和移动设备管理是不够的。依靠应用欺骗和克隆，Joker不断进行更新和改进，以通过OEM和基本安全，从而使移动端点和用户处于风险之中。”