Google于本周披露,从2017年初开始,Google Play Protect总计侦测及移除了1,700个感染Joker恶意软件的Android程序,而且这些程序都还没有被用户下载就先被消灭了。
Joker又称为Bread,Google是在2017年初开始侦测Joker,早期的Joker主要从事短信诈骗(SMS fraud),也即利用受害者的手机传递高价短信。
Google也差不多是在同一时期推出Google Play Protect,它通过Google Play Services被集成到所有的Android设备上,以用来扫描Google Play Store上的第三方程式,只要发现含有恶意软件的程序就会将之移除。
而从2017年初迄今,Google Play Protect已经侦测及移除了1,700个感染了Joker恶意软件的Android程序。
Google表示,虽然Joker一开始只执行短信诈骗,但随着Google在去年1月实施了新政策,移除那些未明确声明却请求短信授权的程序之后,Joker作者也改变了策略,转为收费诈骗(Toll fraud),诱导用户点击一个无声加载的按钮,以擅自替受害者订阅付费服务。
不管是短信诈骗或收费诈骗都不需要用户的交互,受害者则是在收到电信帐单之后才发现莫名的支出。
Joker使用许多技俩来逃避侦测,包括标准加密、定制化加密、分割字符串及分隔符号等,还试着藏匿所使用的APIs行为,并采用市面上诸如Qihoo360、AliProtect与SecShell等工具;还有一些Joker程序的原始版本是干净的,却在更新时嵌入恶意组件。
在Google还未发现Joker程序之前,作者还替这些程序创建了许多五颗星的假评价,企图吸引用户下载。此外,Joker作者企图通过海量政策来闯关,最多曾在一天内提交23个不同的程序,Google承诺,他们将会持续更新及改善Google Play Protect来对抗这类的恶意程序。
事实上,还是有部分Joker程序曾经穿越Google的封锁线,安全企业CSIS Security Group在去年9月指出,他们在Google Play上侦测到24款内置Joker的移动程序,相关程序的总下载量超47.2万。