谷歌已从其Google Play商店中删除了八个正在传播Joker间谍软件新变体的应用程序，但在此之前，它们已经获得了超过300万次下载。

根据网络安全公司Evina的法国安全研究员Maxime Ingrao上周在推特上发布的一篇帖子内容，其声称他发现了一种他称之为Autolycos的恶意软件。该恶意软件可以订阅用户优质服务并访问用户的短信。这种类型的恶意软件——即恶意应用程序在用户不知情或未经用户同意收取付款费用的情况下订阅优质服务——被称为收费欺诈恶意软件，或者更常见的说法是羊毛软件。

Ingrao说，自2021年6月以来，他在网站上发现了八个传播Autolycos的应用程序，下载量增加了数百万次。他说，Autolycos背后的网络犯罪分子正在使用Facebook页面并在Facebook和Instagram上投放广告来宣传恶意软件。

Ingrao在描述恶意软件如何工作的一系列后续帖子中写道：“例如，Razer Keyboard & Theme恶意软件就有74个广告活动。”

Joker再次盛行

Ingrao将恶意软件与Joker软件进行了比较，Joker是2019年发现的间谍软件，除进行其他的邪恶活动外，该软件还秘密订阅了人们的优质服务并窃取短信。

事实上，经过进一步检查，来自Malwarebytes的研究人员认为恶意软件是Joker的新变体——Malwarebytes在Ingrao披露一天后发表的一篇帖子中表示，Malwarebytes被智能研究员Pieter Artnz称之为“Android/Trojan.Spy.Joker-Malwarebytes”。

据Malwarebytes称，Joker是第一个专门生产羊毛软件的恶意软件家族。特洛伊木马病毒将隐藏在传播它的恶意应用程序使用的广告框架中或者这些框架汇总和服务应用程序内广告。

安装带有Joker的应用程序后，它们将显示一个“飞溅”屏幕，该屏幕将显示应用程序徽标，以抛弃受害者，同时在后台执行各种恶意流程，例如窃取短信和联系人列表，以及执行广告欺诈和在人们不知情的情况下注册订阅。

执行的差异

然而，Ingrao指出了原始Joker和Autolycos之间的一个区别。”没有像#Joker这样的网络视图，只有http请求，”他在推特上写道。

Ingrao在一条推文中谈到Autolycos时说：“它在C2地址上检索JSON（Java脚本对象符号）：68.183.219.190/pER/y。”“然后，它执行URL，在某些步骤中，它在远程浏览器上执行URL，并返回结果将其包含在请求中。”

Malwarebytes的Artnz在他的帖子中也进一步解释了这种差异。他写道，虽然Joker使用网络视图或一段网络内容，例如“应用程序屏幕的一小部分、整个页面或介于两者之间的任何东西”来实现它攻击的目的，但Autolycos通过在远程浏览器上执行URL，然后在HTTP请求中包含结果来避免这种情况。

Artnz说，这有助于Autolycos比最初的Joker更熟练地逃避检测。他写道：“不需要WebView大大降低了受影响设备的用户注意到正在发生可疑事情的可能性。”