近日有 6 款惡意程式 App 在 Google Play「被下架」,它們偽裝成通訊或 emoji 壁紙等不同種類的正常軟件,其實卻內含惡意程式 Joker,但即使程式已經下架,有累計 20 萬名用戶安裝了這些應用程式。
成功獲 Google 批准上架
根據研究人員表示,大部份含有惡意程式 Joker 的應用程式,都被編寫成在市集上架後,讀取和執行外部編碼,這些應用程式有很多權限請求,然後開發人員便會提到到 Google Play,這次他們成功獲得 Google 的批准上架,然後用戶便在官方的渠道下載了含有惡意程式的 App,在取得需要的裝置權限後再執行惡意編碼。
涉事的應用程式包括 Convenient Scanner (10萬次安裝)、Separate Doc Scanner (5萬次安裝)、Safety Applock (1萬次安裝)、Push Message-Texting & SMS (1萬次安裝)、Emoji Wallpaper (1萬次女裝) 和 Fingertip GameBox (1千次安裝),更詳細的資料可以瀏覽這裡。
Joker 惡意程式
研究人員認為,這些涉事的應用程式是專門為惡意行為而設,而在應用程式的評分系統中可以找到蛛絲馬跡,包括有人留言說他們是假的應用程式。其實 Joker 惡意程式早在 2017 年初前出現,直至 2019 年開始活躍,它首先會自稱是合法正常的應用程式,但一經安裝,不但會模擬點擊,更會攔截 SMS 去登記受害者不需要的付費服務,自 2019 年 Joker 就一直成功越過 Google Play 的防護,因為開發者不斷對編碼進行小修改。
開發者盡可能減少編碼並完全隱藏起來,令防護機制難以找到線索,偵測變得困難,到 2020 年 Joker 持續在 Google Play 上架,包括 7 月移除了 11款 Android 應用程式,1 月時移除的 1.7 萬個應用程式中也包含了 Joker 的偽裝 App 在內。
用戶自己需提高警剔
Joker 和其他小心隱藏的惡意程式多次成功「上架」,顯示除了從較安全的官方渠道下載應用程式,用戶自己也要額外提高警剔去保護自己和公司的安全,尤其全球 WFH 的趨勢下,手機和平板可能同時作私人和公事之用,應果下載了 Joker 或其他惡意程式,便可能同時把個人和公司的資料送到黑客手上。
資料來源:Threat Post
