Google總計移除含有Joker惡意軟體的1,700款Android程式

Google於本周揭露,從2017年初開始,Google Play Protect總計偵測及移除了1,700個感染Joker惡意軟體的Android程式,而且這些程式都還沒有被使用者下載就先被消滅了。

Joker又稱為Bread,Google是在2017年初開始偵測Joker,早期的Joker主要從事簡訊詐騙(SMS fraud),亦即利用受害者的手機傳遞高價簡訊。

Google也差不多是在同一時期推出Google Play Protect,它透過Google Play Services被整合到所有的Android裝置上,以用來掃描Google Play Store上的第三方程式,只要發現含有惡意軟體的程式就會將之移除。

而從2017年初迄今,Google Play Protect已經偵測及移除了1,700個感染了Joker惡意軟體的Android程式。

Google表示,雖然Joker一開始只執行簡訊詐騙,但隨著Google在去年1月實施了新政策,移除那些未明確宣告卻請求簡訊授權的程式之後,Joker作者也改變了策略,轉為收費詐騙(Toll fraud),誘導使用者點擊一個無聲載入的按鍵,以擅自替受害者訂閱付費服務。

不管是簡訊詐騙或收費詐騙都不需要使用者的互動,受害者則是在收到電信帳單之後才發現莫名的支出。

Joker使用許多技倆來逃避偵測,包括標準加密、客製化加密、分割字串及分隔符號等,還試著藏匿所使用的APIs行為,並採用市面上諸如Qihoo360、AliProtect與SecShell等工具;還有一些Joker程式的原始版本是乾淨的,卻在更新時嵌入惡意元件。

在Google還未察覺Joker程式之前,作者還替這些程式建立了許多五顆星的假評價,企圖吸引使用者下載。此外,Joker作者企圖透過海量政策來闖關,最多曾在一天內提交23個不同的程式,Google承諾,他們將會持續更新及改善Google Play Protect來對抗這類的惡意程式。

事實上,還是有部份Joker程式曾經穿越Google的封鎖線,資安業者CSIS Security Group在去年9月指出,他們在Google Play上偵測到24款內含Joker的行動程式,相關程式的總下載量超47.2萬。

原文來自 iThome Online