隐形Android特洛伊木马间谍为高级订阅签名

 
安全研究人员在24款Google Play商店应用程序中发现了一款​​新的Android木马，其中包含恶意软件删除程序和间谍软件功能，总共下载量超过472,000次。
被称为“Joker”的新Android恶意软件隐藏在被入侵应用程序使用的广告框架中 – 有些安装量超过100,000，而且它旨在将第二阶段组件下载为DEX文件，增加了更多功能。
这个额外的恶意组件可以模拟广告网站上的用户互动，还可以收集受害者的设备信息，联系人列表和短信。
CSIS安全组最近发现，“与广告网站的自动交互包括模拟点击和输入高级服务订阅的授权码”。
Joker利用其SMS收集模块，使用从授权文本消息中自动提取的授权码，为其受害者签署高级订阅。
目前，只有来自非常具体的国家/地区列表的Android用户才会被Joker特洛伊木马(包括但不限于澳大利亚，法国，德国，印度，英国和美国)定位，其中绝大多数受感染的应用程序都包含在移动国家/地区代码的硬编码列表。
恶意软件将SIM卡的国家/地区代码与硬编码列表进行比较，以检查受害者是否来自目标国家/地区以及要删除的第二阶段组件。
但是，“大多数发现的应用程序都有额外的检查，这将确保在美国或加拿大境内运行时有效负载不会执行。”
广告系列的运营商还会发送命令和代码，以便在受感染设备上通过JavaScript到Java回调执行，这是一种用于保护特洛伊木马免受静态分析的技术。
使分析更难的另一种方法是使用“自定义字符串混淆方案用于所有配置，有效负载，通信解析过程”。
Joker的第二阶段组件通过根据预定义的时间表联系其命令和控制(C2)服务器来定期检查要执行的新命令，并将继续打开具有该活动的运营商发送的高级优惠的域。
通过与高级优惠页面交互或使用广告页面上找到的优惠代码发送优惠号码来获取用于为其受害者签署各种付费订阅的授权代码 – 它们也将被泄露到C2服务器，原因尚不明确。
这个恶意组件也负责从电话的地址簿收集所有受害者的联系人，这些联系人将以加密形式发送到攻击者的数据存储服务器。
虽然Joker基于与其活动相关的DNS元数据信息在6月初开始活跃，但是构建名称中的主要版本数字给人的印象是生命周期略长，过去可能会有更多的广告系列。
谷歌已经从Play商店删除了所有受Joker感染的应用程序，而CSIS安全组正在分析特洛伊木马的活动，而研究人员不必报告其中任何一个。
这表明Google Play Protect内置的恶意软件保护和Google的安全研究人员可以发现并主动从Play商店中删除以前未检测到的恶意软件，尽管有些人偶尔会发现它们未被发现。
例如，在上个月，研究人员发现了一个隐藏在Android应用程序CamScanner中的Trojan Dropper恶意模块，该模块已被Google Play商店用户下载超过1亿次。
此前，还通过谷歌的官方Android商店发布了一个捆绑在超过33个应用程序中的点击者特洛伊木马，另外还有1亿个下载，以及在两周内两次从开源AhMyth Android RAT借来的间谍软件功能的Android应用程序。
在CSIS安全组对新的Android Joker特洛伊木马程序的分析结束时，可以获得完整的折衷指标列表(IOC)，包括恶意软件样本哈希，攻击者使用的C2域以及受感染的Android应用程序的软件包名称。