近期，研究人员发现数十个应用程序通过虚拟市场传播 Joker、Facestealer 和 Coper 等恶意软件。据 The Hacker News 网站披露，Google 已从官方 Play 商店中下架了这些欺诈性应用程序。

Android 应用商店被广泛认为是发现和安装这些欺诈性应用程序的来源，但是研究人员发现攻击者正在想方设法绕过谷歌设置的安全屏障，引诱毫无戒心的用户下载带有恶意软件的应用程序。

研究人员  Viral Gandhi 和 Himanshu Sharma 在周一的报告中表示，Joker 是针对 Android 设备最著名的恶意软件家族之一，Zscaler ThreatLabz 和 Pradeo 的最新发现也证明了这一点。

尽管公众对 Joker 这种特殊的恶意软件已经有所了解，但是它通过定期修改恶意软件的跟踪签名（包括更新代码、执行方法和有效载荷检索技术）不断寻找进入谷歌官方应用商店的途径。

关于 Joker

Joker 又名 Bread ，被归类为 fleeceware，旨在为用户订阅不需要的付费服务或拨打高级号码，同时还收集用户的短信、联系人名单和设备信息，于 2017 年首次在 Play Store 中被发现。目前，两家网络安全公司共发现了 53 个 Joker 下载器应用程序，这些应用累计下载量超过了 33 万次。

这些应用程序一般通过冒充短信、照片编辑器、血压计、表情符号键盘和翻译应用程序的形式出现，一旦用户安装后，应用程序又要求提升设备的权限来进行其它操作。

研究人员经过分析发现 Joker 恶意软件采用了新的策略绕过检测，Joker 开发人员不会等着应用程序获得指定数量的安装和评论后，再更换带有恶意软件的版本，而是使用商业打包程序将恶意负载隐藏在通用资产文件和打包应用程序中。

恶意软件感染许多应用程序

值得一提的是，应用商店不仅仅出现了 Joker。安全研究员 Maxime Ingrao 上周披露了八款应用程序，其中含有名为  Autolycos 的恶意软件的不同变体。在存在了六个多月之后才从应用程序商店中删除，此时其下载量总计已经超过了 30 万次。

Malwarebytes 的研究员 Pieter Arntz 表示，这种类型的恶意软件具有新的特点，它不再需要 WebView，这大大降低了受影响设备的用户注意到发生异常情况的机会。比如 Autolycos 就是通过在远程浏览器上执行 URL，然后将结果纳入 HTTP 请求中，从而避免了 WebView。

应用商店中还发现了嵌入 Facestealer 和 Coper 恶意软件的应用程序，前者使运营商能够窃取用户 Facebook 凭据和身份验证令牌， 后者（Exobot 恶意软件的后代）充当银行木马，可以窃取广泛的数据。

据悉，Coper 还能够拦截和发送 SMS 文本消息、发出 USSD（非结构化补充服务数据）请求以发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击、防止卸载以及通常允许攻击者控制和执行命令通过与 C2 服务器的远程连接在受感染的设备上。

与其他银行木马一样，Coper 恶意软件会滥用 Android 上的可访问权限来完全控制受害者的手机。 Facestealer 和 Coper 感染的应用程序列表如下 ：

Vanilla Camera (cam.vanilla.snapp)

Unicc QR扫描器 (com.qrdscannerratedx)

最后提醒广大用户，要从正规的应用商店下载应用程序，通过检查开发商信息、阅读评论和仔细检查其隐私政策来验证其合法性，并且建议用户不要给应用授予不必要的权限。

参考文章：

https://thehackernews.com/2022/07/several-new-play-store-apps-spotted.html