Android最著名的恶意软件之一——“Joker”丨大东话安全
2020/11/14 8:00:00 中科院之声

     一、小白剧场

     小白：Now I see the funny side，now I’m always smiling。(现在我总是看到事物有趣的一面，总是笑口常开。)

     大东：呦~小白!最近英语水平长进十足呀!

     小白：大东东，真是让你见笑啦，长进谈不上，倒是看了不少英文电影!

     大东：《小丑》确实经典，在上映之后的5个月时间中，这部电影创下了10亿美元的全球票房，拿到了几乎所有影展的最佳男主角与最佳配乐奖。

     小白：绝对的经典，点个赞，看来东哥是同道中人呐~

     大东：不过最近Google商店的“小丑”可一直作恶不断呀!

     小白：咦？是怎么回事!东哥快给我讲讲吧~

     二、话说事件

     大东：近日，Google从官方商店下架了17个Android应用程序，Zscaler的安全研究人员发现，这17个应用程序都感染了“小丑Joker”恶意软件。

     小白：这个“小丑Joker”恶意软件是做什么的呀？

     大东：这个间谍软件旨在窃取短信、通讯录和设备信息，并悄悄让受害者签署高级无线应用协议(WAP)服务。

     小白：这些软件被Google发现之前，感染的用户多吗？

     大东：还是很多的，这17个恶意应用从被上传到Play Store到被发现之前已经被下载超过12万次啦，按照内部程序，谷歌从Play Store中删除了这些应用，并使用Play保护服务在感染的设备上禁用了这些应用。

     小白：看来Google公司对于恶意软件的应急措施做得还是很不错的~

     大东：但是对于用户而言，仍然需要手动干预并主动从他们的设备中删除这些应用。只有这样做，才能确保自己的安全不受威胁。

     小白：据我所知，最近Google下架应用可不止一次啦!

     大东：没错没错，最近的这次下架是Google安全团队在过去几个月里第三次采取这样的行动了。之前，在Pradeo的安全研究人员发现并报告了此类应用之后，Google已经删除了六个此类应用。还有一次就是在7月份，Google从安全科(Anquanke)删除了另一批由安全研究人员发现的受Joker感染的应用程序。

     小白：Google公司做的好，就是应该打击这种恶意软件。但是，Google公司应该也有自己的防御吧？这些软件是怎么绕过Google公司的防御进入Play Store的呀？

     大东：这些受感染的应用程序通常通过一种叫做“滴管”的技术，通过多阶段感染受害者的设备，之后就可以成功绕过Google的防御，进入Play Store啦。从Google的角度来看，这项技术非常简单，但是却很难防范。

     小白：这项技术是怎样实现的呢？

     大东：恶意软件的作者首先会克隆一个合法应用程序的功能，然后将其上传到Play Store。该应用程序功能齐全，当它首次运行时，会请求访问危险权限，但不会执行任何恶意行为。

     小白：这样就不会被检测到嘛？

     大东：没错，由于恶意行为通常会延迟数小时或数天，因此Google的安全扫描不会检测到恶意代码，即会允许该应用程序出现在商店中。

     小白：真的是太狡猾啦~

     大东：移动安全公司Zimperium通过下面的流程图展示了Joker的“完整攻击链”，小白可以先学习一下。

    

     Joker完整攻击链(图片来源：网络)

     小白：唉，大东，我不是特别明白。

     大东：没事，问题不大，听我给你讲讲吧。该应用首先会“解码”或解密字符以获取并加载一个恶意“dex”文件的URL，然后从上述URL下载dex文件并使用调用“DexClassLoader构造函数”的“反射技术”将其加载到系统中，最后该文件执行它被开发用来执行的恶意任务，而设备所有者通常并不知情。

     小白：用户在毫不知情的情况下就被恶意软件攻击了，真的是太难啦。

     三、大话始末

     大东：来自Check Point Research的分析人员发现，许多应用程序使用的都是“小丑”恶意软件的变种，它们隐藏在谷歌游戏商店“貌似合法的应用程序”中。

     小白：这种病毒一定对Android用户构成了巨大的威胁吧？

     大东：没错，小丑恶意软件现在已经遍布了37个国家，印度是受影响最严重的国家之一。Check Point Research的分析人员声称，升级版本的Joker能够下载额外的恶意软件到设备上，从而在用户不知情或不同意的情况下自动订阅付费服务，

     小白：唉，不知情的情况下，我的钱包就变薄了。小丑不断成功的入侵谷歌的官方应用程序市场，原因是它的代码发生了一些小的变化，这使得它能够通过Play store的安全和审查屏障，

     大东：然而，这一次，小丑背后的恶意开发者采用了传统PC威胁的一种旧技术，并将其用于移动应用程序世界，以避免被谷歌检测。

     为了让用户在不知情的情况下订阅高级服务和付费服务，Joker恶意软件显然使用了原始应用程序的通知侦听器服务，以及命令和控制服务器加载的动态dex文件来执行实际的用户注册。

     小白：一般，Windows电脑恶意软件的开发者常用的一种技术是通过隐藏dex文件来掩盖他们代码的“指纹”，同时确保它能够加载。

     大东：为了使自己的行为不易被发现，Joker一直试图尽可能减少JavaScript代码的使用与通过混淆技术锁定其代码。在许多情况下，恶意软件已集成在与其恶意应用程序相关联的广告框架中。

     小白：Joker通过欺诈性广告活动试图为其运营商创造利润，真是太可恶了。

     大东：除此之外，Joker还能够通过模拟点击默默地为受害者注册高级服务和付费服务来与广告网络的网站进行互动。Joker通过模拟网站点击，自动输入运营商的优惠代码以及从发送到目标设备的SMS消息中提取确认代码，然后将这些代码提交给广告网站以完成该过程。

     小白：所以说，远离那些以前没听说过的开发者以及那些有很多负面评论的应用是很重要的。

     四、小白内心说

     大东：对于Android用户来说，他们应该只从他们完全信任的开发者那里下载应用，并且要避免在没有充分理由的情况下将未使用的应用留在手机上。

     小白：现如今Android威胁可谓是愈演愈烈啦~

     大东：确实是，伴随着智能手机快速普及，以及PC市场不断下滑，手机用户所面临的安全威胁正超过PC用户。赛门铁克发布的数据显示，移动设备受到的整体威胁比2015年翻了一番，智能手机受到恶意软件攻击的次数累计已经达到1840万次了。

     小白：就目前市场来看，Android和iOS几乎统治了智能手机系统，Android更是成为最受欢迎的手机系统。

    

     Android 系统(图片来源：网络)

     大东：但遗憾的是，Android面临的安全风险也变得越来越大，逐渐成为了不少手机用户的安全隐患。从2014年到2016年，iOS漏洞水平保持相对平稳状态，但Android阵容恶意软件总体数量却在2016年增长了约105%左右。

     小白：而且，目前Android病毒感染率已经超过了Windows。

     大东：是的，来自诺基亚的“2017年度威胁情报报告”指出，Android设备是2017年恶意软件的主要目标，感染率高达68.50%(智能手机占所有移动网络感染的72%)。

     小白：那Windows设备和iOS设备呢？感染率高吗？

     大东：作为对比，Windows设备仅有27.96%的恶意软件感染率，iOS和其他设备也只有3.54%的感染率。

     小白：这是不是就意味着Windows设备感染率最终会转向智能手机呢？

     大东：据诺基亚公司称，Windows设备感染率最终会转向智能手机，因为智能手机现在正成为访问互联网的首选方法。此外，“在智能手机领域，绝大多数恶意软件都是作为Trojan化应用程序进行分发的。用户被网络钓鱼，广告或其他社交工程欺骗，下载和安装应用程序。”

     小白：现在国内外Android用户所承受的安全风险有差别嘛？

     大东：国内Android用户面临的风险要更大一些。有报告指出，亚洲地区是全世界Android设备市场占用率最高的地区，但用户安全意识的匮乏，以及部分制造商不惜牺牲安全性来压低成本，使亚洲地区的Android用户更加容易受到攻击。

     小白：Android手机的系统漏洞也是威胁手机安全的一大隐患。

     大东：Android手机的系统漏洞已经成为手机安全的最大威胁，九成以上Android手机都曾出现过高中低各种等级的安全漏洞：95.4%的设备存在高危漏洞，94.1%的安卓手机存在中危级别漏洞，而90.6%的设备则被发现存在最高等级的安全漏洞。

     小白：大东，Android手机的安全风险来自哪儿呢?

     大东：据悉，Android手机之所以会面临如此多漏洞，与Android系统的开放性有很大关系。由于Android是个开源系统，任何人都可以看到和修改系统内容。但是，即使只是简单的修改了消息应用外观，也可能会产生你不知道的漏洞。

     小白：Google公司不是一直在加强Android系统的安全性嘛？

     大东：虽然谷歌正在不断加强Android系统的安全性，但由于Android系统碎片化严重，安全问题依然很难避免。从Android 8.0系统版本占比的相关数据来看，在Android 8.0系统推出三个月之后，其普及率仅仅只有可怜的0.3%，在那时，即使是更早的Android 7.0版本，其普及率也只有20.6%，占一半以上的Android用户使用的版本还停留在更早之前。

     小白：我觉着，Android系统安全性得不到保障还有很重要的一点原因就是Android设备可随意安装第三方应用。

     大东：随意的安装第三方软件使得Android设备非常容易受到恶意软件感染，但需要指出的是，iOS设备同样会面临安全威胁，如间谍软件“Pegasus”利用 iOS 中三个“零日漏洞”入侵 iPhone，可访问设备中的消息、电话和电子邮件应用。

     小白：其实，对手机用户来说，无论你是Android用户还是iOS用户，都要增强安全意识。

     大东：所有的智能手机用户都应该对手机恶意软件保持警惕，并采取措施进行预防。比如，1>在下载软件前首先对该软件进行一些调查研究，其中最主要的一个内容就是查看该软件的专业评测,这样做可以在很大程度上避免你下载到那些容易泄露用户数据的程序。2>合法的软件商店会定期扫描网站中提供的软件，并将问题软件及时关闭或替换，因此一定要在正规的软件店中下载软件，另外还要留意之前下载的软件是否被发现有问题。

     小白：好的好的，大东，我要去清理我的手机啦~

     参考文献：

     1. 怎么预防手机恶意软件https://jingyan.baidu.com/article/bad08e1ea773a209c85121f8.html

     2. 谷歌Play商店下架了17款恶意软件 这里有你常用的应用程序吗？https://mp.weixin.qq.com/s/Y4a2MM28Kt2vkkjnnXUYrw

     3. 诺基亚：Android设备是2017年恶意软件的主要目标

     https://www.cnbeta.com/articles/soft/670303.htm

     4. “小丑”(Joker)Android恶意窃听软件

     https://blog.csdn.net/qq_44757034/article/details/107375249

     来源：中国科学院计算技术研究所

     温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」

    

    

    源网页  http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药