几个新的Play Store应用程序被发现分发Joker、Facestealer和Coper恶意软件

谷歌已采取措施，从官方Play商店中删除数十个欺诈应用程序，这些应用程序被发现通过虚拟市场传播小丑、脸盗和Coper恶意软件家族。

虽然Android storefront被认为是发现和安装应用程序的可靠来源，但坏人却一再想方设法潜入谷歌设置的安全屏障，以期引诱毫无戒心的用户下载带有恶意软件的应用程序。

Zscaler-ThreatLabz和Pradeo的最新发现没有什么不同。研究人员甘地和希曼舒夏尔马在周一的一份报告中说：“小丑是针对安卓设备的最著名的恶意软件家族之一”。

“尽管公众意识到这一特定的恶意软件，但它通过定期修改恶意软件的跟踪特征，包括更新代码、执行方法和有效负载检索技术，不断进入谷歌的官方应用商店”。

Joker（又名Bread）被归类为fleeceware，旨在为用户订阅不想要的付费服务或拨打优质电话，同时收集短信、联系人列表和设备信息。2017年在Play商店首次观察到。

这两家网络安全公司共识别出53款Joker downloader应用，累计下载次数超过33万次。这些应用程序通常充当SMS、照片编辑器、血压监视器、表情键盘和翻译应用程序，反过来，这些应用程序要求提升设备的权限以执行其操作。

研究人员解释了持久性恶意软件为绕过检测而采用的新策略：“小丑开发者不再等待应用程序获得指定数量的安装和审查，而是开始使用商业包装器将恶意负载隐藏在公共资产文件和包应用程序中”。

这不仅仅是开玩笑，因为安全研究人员Maxime Ingrao上周披露了八个应用程序，其中包含一种不同的恶意软件变体Autolycos，在六个多月后从应用程序商店中删除之前，这些应用程序总共下载了300多万次。

Malwarebytes研究员PieterArntz说：“这种类型的新功能是不再需要网络视图”。“不需要网络视图大大降低了受影响设备的用户注意到可疑情况的机会。Autolycos通过在远程浏览器上执行URL，然后将结果包含在HTTP请求中来避免网络视图”。

在官方市场上还发现了嵌入Facestealer和Coper恶意软件的应用程序。前者使运营商能够虹吸脸书凭据和身份验证令牌，而Coper#8212，Exobot恶意软件的后代#8212，作为银行特洛伊木马程序，可以窃取大量数据。

研究人员说，Coper“能够拦截和发送短信，发出USSD（非结构化补充业务数据）请求以发送消息，记录密钥，锁定/解锁设备屏幕，执行过度攻击，防止卸载，通常允许攻击者通过与C2服务器的远程连接在受感染的设备上控制和执行命令”。

与其他银行特洛伊木马一样，该恶意软件也会滥用Android上的访问权限，以获得对受害者手机的完全控制。Facestealer和Coper dropper应用程序列表如下

• Unicc QR扫描仪（com.qrdscannertx）

如果说有什么不同的话，这一发现为谷歌在移动应用商店中努力阻止此类fleeceware和间谍软件应用的传奇历史增添了一笔，部分原因是威胁行为人采取了多种不断演变的战术来躲避监视。

除了从应用商店下载应用程序的一般经验法则外，建议用户不要向应用程序授予不必要的权限，并通过检查开发者信息、阅读评论和审查其隐私政策来验证其合法性。