Doctor Web的病毒分析师发现，有超过538000名华为设备用户从其官方应用商店AppGallery上安装了包含Joker恶意程序的应用并订阅了高级移动服务。研究人员在AppGallery中发现了10个看似无害的应用，但这些已经被Joker恶意软件感染的应用有执行恶意命令的能力且可以连接到控制服务器以接收配置和附加组件的代码。

访问安全机构Dr.Web了解完整报告：

https://news.drweb.com/show/?i=14182&lng=en

Doctor Web的一份报告指出，这些恶意应用保留了其宣传的功能，但下载的组件可以让用户订阅高级移动服务。为了让用户无法察觉，受感染的应用程序要求访问通知权限，这使得他们能够拦截订阅服务通过短信传递的确认代码。

据研究人员介绍，该恶意软件最多可以为一个用户订阅五项服务，不过威胁行为人可以随时修改这一限制。感染恶意应用程序的原有用途非常广泛，包括虚拟键盘、相机应用、启动器、在线信使、贴纸收集、着色程序和游戏。其中大部分应用来自一个开发商，只有两个来自不同的开发商。十款应用被总机超过53.8万名华为用户下载。华为已经从AppGallery中删除了这些应用，虽然后来的用户不能再下载它们，但已经在设备上运行这些应用的用户需要进行手动清理。

这些应用程序的名字和程序安装包名如下：

研究人员表示，AppGallery中被感染的应用程序下载的相同模块也存在于Google Play上的其他应用程序中，被其他版本的Joker恶意软件使用。完整的被感染应用列表可在这里获得。一旦激活，恶意软件就会与其远程服务器通信以获取配置文件，其中包含任务列表、高级服务的网站、模拟用户交互的JavaScript。

Joker恶意软件的历史最早可以追溯到2017年，并不断在通过Google Play商店分发的应用中找到它的踪迹。2019年10月，卡巴斯基的安卓恶意软件分析师Tatyana Shishkova在推特上公布了70多个被入侵的应用名称，这些应用均已经进入了官方商店。

而关于Google Play中恶意软件的报道也不断出现。2020年初，谷歌宣布，自2017年以来已经删除了约1700个感染了Joker的应用。去年2月，Joker仍然存在于商店中，即使在去年7月，它也继续从谷歌的防御系统的围追堵截系下继续存活。