Dr.Web(DoctorWeb),俄罗斯知名信息安全产品厂商,1992年开始研发Dr.Web反病毒软件。
本月初,Dr.Web官方发布安全研究报告称,其病毒分析师在华为官方应用市场,即AppGallery上发现了一批携带恶意模块的工具软件和游戏。
报告显示,这批APP总共有10款,其中8款来自山西某网络科技公司,另外两款来自开发者何某。
截止目前,它们在华为市场*载下**的次数已超过53.8万。
报告称,这些软件均含有恶意模块Android.Joker木马。
Android.Joker可以说是一个“臭名昭著”的恶意软件惯犯了,最早可以追溯到2017年。
它的主要目的是窃取用户短信、通讯录和设备信息,并悄悄让受害者注册签订高级付费订阅服务。
多年以来,它的“家族成员”便常常在谷歌官方应用商店出现,安全分析师们几乎每天都会遇到这些木马的变种版本。
研究人员发现,本次在华为应用市场出现的新一批恶意APP,与其他Android.Joker木马类似,也是打着无害应用程序的幌子进行传播的。
表面上看来,这批恶意APP是虚拟键盘、照相机、启动器、社交软件、涂色程序、游戏等等,而且使用起来功能也与宣传的一致。
但是,当用户安装后,恶意模块就会自动激活,并连接远程服务器获取配置文件,包括任务列表、付费服务网站和模拟交互代码。
为了让用户无法察觉到自己订阅了这些被感染APP的增值服务,APP还会专门拦截订阅服务的验证码,让用户收不到订阅通知,所以就算被扣费了也不知道是什么原因导致的。
目前,这些恶意APP会让用户订阅最多5个服务,但是攻击者随时都可以修改这一限制。
值得注意的是,扩展迷发现,这批曝光的APP几乎都是某些热门软件的山寨版本。
这样一来,不法分子甚至不需要花费人力物力重新开发新软件,就能直接借助正版APP的知名度来吸引用户*载下**了。
从应用商店的角度来看,这项技术非常简单,但是却很难防范。
通常来说,这些恶意软件的作者都会克隆一个合法应用程序的功能,然后将其上传到应用商店。
该应用程序功能齐全,当它首次运行时,会请求访问高级权限,但不会执行任何恶意行为。
然后,这些APP可以在启动时按用户预期的方式工作,并长时间感染尽可能多的Android设备。
无论是APP商店还是浏览器插件商店,都经常出现这样的恶意程序。
2020年谷歌发布的安全报告显示,自2017年以来已删除超过1700款被Joker感染的软件,但该病毒目前依然活跃。
不知道是因为谷歌打击力度太大,还是收益太过丰厚,所以这家公司又开始盯上了国内的应用商店市场。
另外,不排除这些恶意APP同样出现在其他应用商店。所以,大家在*载下**APP时,一定要尽量远离那些以前没听说过的开发者和提供商。
*载下**APP前,也要多看看评论,尤其是负面评论,都是很重要的。
目前,华为在接到通报后已经证实这一批恶意APP存在,并迅速将其下架。
如果大家曾通过华为应用市场安装过以下软件,则在卸载后还需检查自己的增值服务订阅,如果发现了不是你自己订阅的服务,请立刻退订。
就目前市场来看,Android和iOS几乎统治了智能手机系统,Android更是成为最受欢迎的手机系统。
但另一方面,由于Android的开放性,其面临的安全风险也变得越来越大,逐渐成为了不少手机用户的安全隐患。
无论你是Android用户还是iOS用户,都要增强安全意识。