来源：zscaler 编译：sky

本周谷歌从官方Play商店删除了17个Android应用程序。根据来自Zscaler的安全研究员Viral Gandhi表示，所有17个应用程序都被Joker（小丑）感染。Play Store上的恶意软件是一种常见现象，处理它们是谷歌和用户的共同责任。

Zscaler安全研究员Viral Gandhi说： “该间谍软件旨在窃取SMS消息，联系人列表和设备信息，并以静默方式签署受害者的高级无线应用协议（WAP）服务 。”

Google已从Play商店删除了这些应用程序，并启动了Play保护停用服务，但用户仍然需要手动干预才能从设备中删除这些应用程序。

这17个应用程序的名称为：

• 所有好的PDF扫描仪
• 薄荷叶留言-您的私人留言
• 独特的键盘–花式字体和免费表情符号
• 七巧板应用锁
• 直接信使
• 私人短信
• 一句翻译器–多功能翻译器
• 风格照片拼贴
• 细致的扫描仪
• 愿望翻译
• 人才照片编辑器–模糊焦点
• 关怀讯息
• 零件信息
• 纸张文件扫描仪
• 蓝色扫描仪
• 蜂鸟PDF转换器–照片转PDF
• 所有好的PDF扫描仪

（截至本文撰写时，这些应用已不再位于Play商店中。但是，如果您将其安装在设备上，则有义务立即将其卸载）。

PLAY商店的祸根

这是谷歌安全团队近几个月来第三次处理Joker感染的应用程序。上个月初，谷歌团队删除了6个受感染的应用程序。今年7月，谷歌安全研究人员还发现了一批被Joker感染的应用程序。

根据调查，这批病毒软件自3月以来一直处于活动状态，并成功感染了数百万台设备。

这些受感染的应用程序使用一种称为“滴管”的技术。这项技术可让受感染的应用程序绕过谷歌的安全防御系统，直接进入Play商店，并分多个阶段感染受害者的设备。

从谷歌的角度来看，这项技术非常简单，但很难防御。

如何运作

首先，恶意软件的创建者将克隆合法的应用程序功能并将其上传到Play商店。通常，此应用程序功能齐全，可以请求访问，但是在首次运行时不会执行任何恶意操作。由于恶意操作通常会延迟数小时或数天，并且谷歌的安全扫描不会检测到恶意代码，因此此类应用程序通常会出现在Play商店中。

但是，一旦用户将其安装在设备上，应用程序就会下载并“丢弃”（因此名称为droppers或loaders）其他设备或包含Joker恶意软件或其他恶意软件得应用程序。

今年1月，谷歌发表了一篇博客文章，声称Joker是他们过去几年中所应对过的最持久、最先进的威胁之一。谷歌还表示，自2017年以来，其安全团队已从Play Store删除了1700多个应用程序。简言之，很难防范Joker。但是，如果用户在安装具有广泛权限的应用程序时可以谨慎，则可以减少感染的可能性。

此外，Bitdefender还向谷歌安全团队报告了一批恶意应用程序，其中一些应用程序仍在Play Store上提供。Bitdefender没有透露应用程序的名称，只透露了上传应用程序的开发者的帐户名。它还警告说，任何拥有此类应用程序的人都应该立即卸载它们。

引文：zscaler.com/blogs/research/joker-playing-hide-and-seek-google-play