早在2019年研究人員就發現了一種名為“Joker”的新型安卓木馬，共有24款應用受到影響，總下載量超過47萬次。該木馬隱藏在被感染應用程序使用的廣告架構中，可冒充用戶與廣告網站進行互動，還可以收集受害者的設備信息、聯系人列表和短信消息。當時該木馬不僅使用了多種技術手段避免受到靜態分析，還可自行聯系黑客的命令和控制服務器，以接受命令或上傳所竊信息。此外，Joker的程序代碼中有特殊設置，將攻擊目標設為特定的國家/地區的安卓用戶（包括但不限于澳大利亞、法國、德國、印度、英國和美國），而且該木馬會根據目標設備的SIM卡區號來決定是否攻擊。

Joker惡意軟件執行間諜軟件或木馬的惡意軟件功能，并為用戶注冊一個高級訂閱，并從威脅執行者的命令和控制服務器下載感染應用程序到毫無戒心的用戶的設備。

一般來說，這種類型的惡意軟件是很難被檢測到的。它的工作原理是通過顯示與廣告網站交互的廣告，從用戶的設備中提取短信細節和其他個人信息。

惡意軟件可以從受害者的設備中竊取的一些主要信息是：

?短信；

?設備信息；

?聯系方式；

除了竊取敏感信息，該惡意軟件還能在未經用戶同意的情況下從其銀行賬戶中竊取資金。這可以歸因于惡意軟件的通知讀取功能，使其能夠訪問用戶的短信詳細信息。

Cyble 研究人員最近發現了 JokerDropper 的一個新變體，并且可以從 Google Play Store訪問間諜軟件/特洛伊木馬變體。隱藏為合法應用程序后，發現該應用程序是 Joker 的更新版本，可將其他惡意軟件下載到設備并在用戶不知情或未經用戶同意的情況下訂閱高級服務。這是 Joker 惡意軟件的常見功能。

研究人員在 Google Play Store中發現了此變體。可以確認該應用在 Google Play Store中一直存在到 2021 年 7 月 5 日。

之前在 Google Play Store中提供的應用

盡管谷歌立即將這款應用從Play Store下架，但該應用的安裝量已經超過500次。盡管谷歌從其Play Store中刪除了該惡意軟件，但攻擊者仍在對應用程序和有效載荷進行輕微修改，從而使該惡意軟件能夠躲避谷歌Play Store對惡意程序的檢測。攻擊者的更改包括在代碼中應用復雜的混淆、更改執行方法以及使用不同的有效載荷檢索技術。

從 Google Play Store中刪除的應用

惡意軟件開發人員在新變體中采用了相同的動態代碼加載 (DCL) 和反射技術，以逃避對其惡意功能的檢測。在 DCL 投放的文件中，Joker 惡意軟件的 Dalvik Executable (DEX) 是以包含為 Android 平臺編寫的編譯代碼的格式保存的可執行文件。攻擊者使用這些技術來隱藏惡意功能并防止在應用程序的靜態分析期間檢測到惡意軟件。

技術分析

研究人員對 Joker 惡意軟件的 APK 進行了技術分析，其哈希值如下：a18508d9047fe87da2bf14211c3f31c5ad48277348eb5011fdfe4dd7dac13d52。

應用名稱：QR Scanner Free

包名：com.yanto.mo.codescan

下面列出了一些可能執行惡意活動的應用程序的權限、活動和服務：

權限：

?android.permission.READ_PHONE_STATE

?android.permission.CAMERA

?android.permission.ACCESS_COARSE_LOCATION

?android.permission.CALL_PHONE

?android.permission.CHANGE_WIFI_STATE

?android.permission.READ_CONTACTS

?android.permission.INTERNET

?android.permission.WRITE_EXTERNAL_STORAGE

活動：

?qr.barcode.scanner.activity.SplashActivity

?qr.barcode.scanner.activity.MainActivity

?qr.barcode.scanner.activity.ResultActivity

?qr.barcode.scanner.activity.CreateActivity

?qr.barcode.scanner.activity.FeedbackActivity

?qr.barcode.scanner.activity.WebviewActivity

?qr.barcode.scanner.activity.AboutActivity

服務：

?q.b

?com.google.android.gms.ads.AdService

?androidx.work.impl.background.systemalarm.SystemAlarmService

?androidx.work.impl.background.systemjob.SystemJobService

?androidx.room.MultiInstanceInvalidationService

下圖展示了該應用程序的惡意功能：

惡意軟件從應用程序子類 qr.barcode.scanner.ScannerApp 發起惡意行為，此類在用戶啟動應用程序時首先執行。

從應用程序子類啟動惡意軟件

這個 onCreate 函數進一步調用函數“a”，它從下面提到的縮短的 url 下載 DEX 文件，如圖 4 所示。

縮短的 URL：“hxxps://zws.im/????????????????”

擴展的 URL：“hxxp://onemoretime.oss-us-east-1.aliyuncs[.]com/huadi”

從 URL 請求文件并檢查已建立的 HTTP 連接的代碼

應用程序使用 dalvik.system.DexClassLoader API 從下載的 DEX 文件加載類“XX00”，并嘗試從刪除的文件中執行方法“jarico”。

從拖放的文件中加載類和方法

下面的代碼說明了加載類“XX00”后“jarico”函數的執行。

執行 DCL 功能的代碼

執行“jarico”函數后，會加載一個新的 DEX 文件，該文件會啟動到第二個 URL 的連接以下載額外的 DEX 文件。這個DEX文件“hd.ai”加載了主類“Ferry”和方法“Tayle”，如圖7所示。

從 URL 加載附加 DEX 文件的代碼

主類“Ferry”依次連接到第三個 URL“hxxp://onemoretime.oss-us-east-1.aliyuncs.com/notice.ai”，通過加載主類下載“notice.ai”文件“com.antume.cantin”和方法“button”。

從 URL 中刪除的第三個 DEX 文件

還觀察到相同的主類“Ferry”能夠讀取受害者設備收到的所有通知。使用通知偵聽器服務，它會在用戶不知情的情況下讀取所有文本消息或通知并取消它們，以隱藏甚至收到通知的事實。

使用服務讀取通知

與broadcastreceiver一起，從DEX文件“notice.ai”加載的主類“com.antume.cantin”從主類“Ferry”中收集通知的內容。

收集和存儲短信數據

研究表明，該應用程序使用了無線應用協議 (WAP) 計費服務中使用的通用加密技術來避免檢測。該技術涉及在單詞中放置一組隨機字符。

加密中觀察到的常見模式

該應用程序為其計費服務提供了多個無線應用協議 (WAP) 訂閱 URL，WAP計費是一種從網站購買內容的支付方式，費用直接計入手機話費。使用這種計費服務，攻擊者可以通過將用戶注冊到未知訂閱中并按天、每周或每月向他們收費的方式，將目標鎖定在美國、英國、印度、泰國和越南等國家，從而使攻擊者獲得金錢收益。

如圖 12 所示，該應用程序有一個位于泰國的 WAP 訂閱 URL，這在該惡意軟件變體中很常見，甚至會檢查運營商代碼以識別移動設備的蜂窩連接。

運營商代碼檢查和基于泰國的 WAP 鏈接

攻擊者將所有惡意功能隱藏在下載的有效載荷中，這種技術在 Joker 惡意軟件中很常見。惡意軟件不斷發展并定義新技術以隱藏其惡意功能以防止檢測。

安全建議

?不斷更新防毒軟件，以檢測及刪除惡意軟件；

?如果你在設備中發現此惡意軟件，請卸載該應用程序；

?保持系統和應用程序更新到最新版本；

?使用強密碼并啟用雙因素身份驗證；

?只能從可信的網站和官方應用商店下載和安裝軟件；

?在授予應用程序訪問權限之前，驗證應用程序請求的特權和權限；

?如果有人擔心自己被盜的證書會在暗網上曝光，可以登陸?AmIBreached.com?，以確定自己的暴露情況。