Joker病毒潜入软件偷发短信获取话费

为了保证让设备成功订阅增值业务，恶意软件需要确保用户使用的是移动网络。因此，如果用户使用的是WiFi网络，软件的内置模块会导致WiFi网络中断，必须使用移动数据联网。

为了防止话费蒸发太快引起用户怀疑，该恶意模块默认的每台设备订阅增值服务的数量最多为5个。但这个限制可以被更改，Dr. web的研究人员拦截到的模块中，增值订阅的上限达到了10个。

2 恶意病毒属Joker变种，曾感染谷歌应用商城

研究人员称，此次发现的恶意软件中的功能模块并不是第一次出现，而是著名的病毒Joker的另一版本。

早在2017年，Joker病毒就已经在谷歌应用商城Google Play中被检测到，其诈骗手段与此次发现的恶意软件如出一辙。2020年，谷歌曾发布报告称，其侦测程序Google Play Protect已经检测出超过1700个被Joker病毒感染的应用程序，这些软件还未上架就已经被侦测清除。

但还是有漏网之鱼。2019年，卡巴斯基的研究人员发现了70款携带Joker病毒的恶意软件。而这些软件当时已经在Google play上架。

此次Joker入侵华为应用商城，表明它正拓宽影响范围，其威胁不可忽视。另外，获取了短信权限的恶意模块除了接收验证码用来订购增值业务，还会获取用户其他短信内容，有数据泄露的风险。

3 恶意软件为何难以根除?隐藏在无害软件背后

从2017年第一次出现到如今，Joker病毒为何仍然活跃，难以根除?

Joker病毒在不断产生新的变种，以应对系统侦测。例如，Joker最典型的模式是“短信诈骗”，即发送短信订阅增值业务。而当2019年谷歌采取了新政策，移除那些未明确宣告却请求短信权限的App，此后 Joker改变了攻击策略，变身“通话诈骗”，诱导使用者点击一个无声载入的按键，实际上是高额付费电话。

除此之外，由于Joker病毒总是藏在无害软件的幌子后面，使其真正的开发者能够隐身。Joker通过内置模块可以嵌入到应用程序中，因此，侦测系统侦测到恶意软件后，能做的只是加强监测和下架这些软件。而病毒却可以逃遁，换个宿主便可继续实施诈骗。

此次在华为应用商城中发现的十款恶意软件中，有八款来自“山西快来拍网络科技有限公司”，资料显示，这家公司成立于2020年5月18日，注册资本300万元。从成立时间来看，这个公司显然不是Joker病毒的始作俑者，他们做的，是将病毒模块植入应用程序来获利。目前华为应用商城已经下架了这些恶意软件。

另外，南都记者发现这些恶意软件和一些正规软件相似度很高，功能简介几乎相同，名字也只有细微差别，很可能是将病毒模块植入正规无害软件做成盗版App，以诱骗用户下载。例如，被点名的恶意软件“Happy Colour”和市面上一款叫“Happy Color”的涂色游戏App的功能和设计就几乎完全相同。

Dr. web称，得知消息后，华为已经在应用商城中屏蔽了该木马病毒，并承诺将启动调查将类似的恶意App出现的可能性降到最低。

研究人员提醒到，普通用户也要甄别和防范恶意软件风险。首先，下载应用时尽可能选择官方可靠渠道，安装时，要警惕App过度索取手机权限，尤其是短信和通知权限;其次，要留心手机资费使用情况，如发现有不合理支出，

（编辑：葫芦岛站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!