首页保安Android恶意软件:Jok​​er阻止了Google的防御

Android恶意软件:Jok​​er阻止了Google的防御

恶意软件小丑在未经用户许可的情况下为Android用户提供了优质服务,这使Google感到困难,因为新样本不断绕过控制并最终进入Play商店。

恶意软件不断发展,在官方Android系统信息库中发现的新标本似乎是专门为避免其检测机制而创建的。 谷歌.

恶意软件也称为面包,是一种间谍软件和高级间谍软件,可以访问警报,读取和发送 短信。 这些功能用于不可见的受害者注册 高品质.

小丑避免了美国和他 加拿大

Check Point研究人员在实验室中发现了四个新标本 Play商店 最近,在累计安装量超过130.000的应用程序中。 该恶意软件隐藏在相机,墙纸,短信和照片编辑软件中:

  • 应用程序.reyflow.photo
  • 种族
  • 景观相机
  • 韦尔斯加

为了在受感染的应用程序中隐藏恶意功能,将带有静态密钥的简单XOR加密应用于相关字符串,这些字符串控制初始有效负载的存在,如果没有,则从命令和控制(C2)服务器下载。

该恶意软件也不会定位到美国和加拿大的设备 检查点 发现了一个功能,该功能专门读取操作员信息以过滤这些区域。

Android恶意软件:Jok​​er阻止了Google的防御

如果满足条件,则Joker与其C2服务器进行通信,以上传一个配置文件,其中包含另一个有效负载的URL,该URL在下载后立即执行。

订阅过程对于用户来说是不可见的地址 网址 在隐藏的Web视图中打开配置文件中的高质量服务。

小丑开发人员经常修改代码以使其无法检测。 谷歌表示,发现的许多样本似乎都是专门为通过Play商店分发而创建的,因为它们并未出现在其他地方。

自Google于2017年初开始跟踪Joker以来,该公司已撤回了大约1.700个受感染的Play商店应用。 但这并没有阻止恶意软件作者,“几乎所有人 技术 不被发现。”

Check Point移动安全研究人员Aviran Hazum说,新的Joker示例几乎每天都出现在Google的Play商店中。

答题器的目的是通过模仿用户对广告的点击来进行广告欺诈。 如今,移动广告欺诈一直是一个挑战,因为它可以采取多种形式。 针对这一罪行,谷歌昨天宣布已从官方撤回近600份申请。 Android商店 并且也禁止他们使用广告获利平台,Google AdMob和Google Ad Manager。

名为Haken的新恶意代码基于本地代码,并注入到Facebook和AdMob库中,并在经过Google验证过程后从远程服务器进行配置。

Android恶意软件:Jok​​er阻止了Google的防御

该恶意软件是在提供广告功能的应用程序中引入的。 指示恶意意图的标志正在寻求不需要妥协实现的权利,例如 代码执行 启动设备时。

一旦拥有必要的权限,Haken就会通过加载本机kagu-lib并注册两个服务工作者来实现其目标。

存储在Ad-SDK(软件开发工具包)中的本机代码允许对Play商店中已有的应用程序进行后门应用程序处理,从而允许Haken进行维护 低调 并从欺诈性广告活动中获得收益。

目前尚不清楚该恶意软件及其累积的收入已经活跃了多长时间,但是安装数量很少表明该传播范围并不大。 如果它们仍存在于设备上,则要求用户删除以下应用程序:

  • 儿童着色-com.faber.kids.coloring
  • 指南针-com.haken.compass
  • 二维码-com.haken.qrcode
  • 水果着色书-com.vimotech.fruits.coloring.book
  • 足球着色书-com.vimotech.soccer.coloring.book
  • 水果跳塔-mobi.game.fruit.jump.tower
  • 球号射手-mobi.game.ball.number.shooter
  • Inongdan-com.vimotech.inongdan

现货图片

实时新闻