臭名昭著的 Joker 惡意軟體，可在未經使用者同意的情況下訂閱許多增值服務。

以色列網路安全公司 Check Point 的安全研究人員發現，幕後開發者對這些應用的程式碼機型了修改，以繞過 Play 商店的安全性審查。

慶幸的是，谷歌已經注意到了此事，並於近日在 Play 商店中剔除了 11 款帶有 Joker 惡意軟體的 Android 應用。

Check Point 指出，這些應用侵犯了使用者隱私、能夠下載更多惡意軟體到受感染的裝置、甚至在未經使用者知情或同意的情況下訂閱增值付費服務。

作為 Android 上最臭名昭著的惡意軟體之一，駭客對程式碼進行了微小的改動，而後一直在谷歌官方應用市場招搖過市。

儘管谷歌已從 Play 商店剔除了這 11 款帶有 Joker 惡意軟體的應用，但除非使用者手動解除安裝，某則它們是不會從受害者的裝置中移除的。

安全研究人員指出，Joker 的幕後主使者採用了威脅傳統 PC 環境的一項古老技術，並將之運用到了移動 App 世界中，以避免被谷歌檢出。

為扣取使用者的增值訂閱費用，Joker 使用了通知偵聽服務和動態 dex 檔案這兩個主要元件，後者依賴於命令與控制伺服器來執行服務的註冊。

起初，負責與伺服器端進行通訊並下載的動態 dex 檔案程式碼位於 main classes.dex 中。但之後，初始 classes.dex 檔案的功能中已包含了載入新的有效負載。

此外，惡意軟體開發者可將惡意程式碼動態地隱藏於 dex 檔案中，同時仍可確保其能被載入（Windows PC 平臺上眾所周知的一項惡意軟體開發技術），以避免被系統給檢測到。

而後，新變體也將惡意 dex 檔案隱藏為 Base64 編碼的字串，透過讀取字串對其進行解碼，然後載入並對映感染裝置，從而將應用程式內部的惡意 dex 檔案隱藏起來。

這 11 款惡意 Android 應用的列表如下：

com.imagecompress.android

com.relax.relaxation.androidsms

com.cheery.message.sendsms

com.peason.lovinglovemessage

com.contact.withme.texts

com.hmvoice.friendsms (twice)

com.file.recovefiles

com.LPlocker.lockapps

com.remindme.alram

com.training.memorygame

Check Point 安全研究人員建議，使用者應在下載前檢查所有應用程式。若懷疑裝置已下載了受感染的檔案，則應立即將其解除安裝、檢查手機和信用卡賬單上是否有任何意料之外的支出。

據悉，谷歌已於過去 30 天內第三次對惡意軟體展開了清理行動。不過在手機上安裝反病毒軟體，依然是一項有助於防止系統被感染的重要措施。