谷歌下架含Joker、Facestealer和Coper病毒软件

Google Play 商店近日删除数十款欺诈性应用程序，因其存在传播 Joker、Facestealer 和 Coper 系列恶意软件行为。

资料显示，Joker 是最为臭名昭著的安卓恶意软件家族之一，曾多次利用谷歌应用商店进行传播，可谓是无孔不入。

当然，此次被发现的恶意软件家族还包括 Facestealer 和 Coper 系列恶意软件，接下里笔者将对它们逐一进行介绍。

Facestealer 恶意软件最早于 2021 年 07 月时被俄罗斯安全厂商 Doctor Web 追踪，主要窃取用户登录凭证等信息。

而 Coper 恶意软件在此之前并未被记录在案，经笔者查询资料发现其实是一款名为 Exobot 的安卓银行木马的变种。

提到Exobot木马肯定有些人知道，这也是一款臭名昭著的安卓银行木马软件，虽诞生年代久远却至今仍在为祸人间。

早在 2018 年 01 月时，其作者在各大知名黑客论坛公开出售 Exobot 的源代码的消息，并一度引发安全界普遍担忧。

作为变种的 Coper 恶意软件，此次被发现能够拦截和发送 SMS 文本信息，发出USSD(非结构化补充服务数据)请求。

并以此发送消息、键盘记录、锁定/解锁屏幕、防卸载及允许攻击者通过 C2 服务器远程连接和控制设备并执行命令。

网络安全公司此次在谷歌应用时常检测到 53 款携带 Joker 的应用程序，这些程序累计下载量已经超过 330,000 次。

这些程序通常以照片编辑器、血压监测器、表情符号键盘、翻译应用软件形式出现，它们通常会索取不必要的权限。

当然，攻击者所采用的的手段其实并不新颖：先上传一些不包含任何木马的应用程序，然后针对性的刷好评和点赞。

待用户基数达到一定的预期后，攻击者就会将携带了恶意软件的应用程序打包上传，以此成功绕过官方的检测机制。

另外，安全人员近期披露的八款应用程序中包含名为 Autolycos 的恶意软件不同变体，被下架前下载量超 300 万次。

这些携带 Autolycos 的恶意软件，能通过在远程浏览器执行 URL 然后将结果包含在 HTTP 请求中来避免 WebView。

如此操作就可以避免不再使用 WebView，也就大大降低了被攻击设备的用户观察到自己的设备可能已被入侵的可能。

由此，尽管安全厂商不断更新技术、人们不断提升安全意识，但攻击者也在不断革新自己的攻击武器从而达到目的。

因此，作为普通用户来说，树立安全意识格外重要，不仅要拒绝安装部受信任的来源，更要拒绝授予不必要的权限。

尤其是那些意图索取你通话记录、通讯录、短信记录、设备信息的应用程序，一定要直接卸载而不是允许获取权限。