Do Google Play znów prześlizgnął się malware znany jako Joker lub Bread. Szkodnik udawał użyteczne aplikacje, ale w tle zapisywał użytkowników do płatnych usług premium.
Joker jest już dobrze znany specjalistom i kontrola bezpieczeństwa w Google Play nie powinna mieć problemów z wykryciem jego obecności. Jednak cyberprzestępcy wymyślili nowy sposób, jak ukryć go w zwyczajnie wyglądających aplikacjach. Szkodliwy kod wykonywalny DEX był ukryty wewnątrz aplikacji i zakodowany algorytmem Base64. Ciąg znaków znajdował się albo w pliku Manifest aplikacji, albo w jednej z klas programu, ładowanej dzięki refleksji.
Specjaliści znaleźli Jokera w tej postaci w 11 aplikacjach. Wszystkie zostały usunięte z Google Play 30 kwietnia 2020, jednak ze względów bezpieczeństwa informacje o nich nie od razu zostały podane do wiadomości publicznej. Nazwy pakietów i hashe zostały umieszczone na tej liście.
Zobacz: Malware xHelper rozpracowany. Wiemy jak przetrwał „factory reset” Androida
Zobacz: Telefon dotowany przez rząd USA zawiera złośliwe oprogramowanie
Joker został wykryty pierwszy raz w 2017 roku i od tamtej pory wraca w nowych kampaniach. Przez specjalistów jest umieszczany w czołówce najszybciej rozprzestrzeniających się zagrożeń atakujących Androida. Poza zapisywaniem ofiar do usług premium Joker może też wykradać SMS-y, kontakty i inne dane.
Do stycznia 2020 roku z Google Play zostało usuniętych ponad 1700 aplikacji zawierających Jokera. Zwykle w kampaniach wykorzystywane są użyteczne narzędzia ze sporą ilością pozytywnych, fałszywych ocen. Cyberprzestępcy wykorzystywali też wersjonowanie – dodawali Jokera do aplikacji przy okazji aktualizacji, gdy już zdobyli zaufanie użytkowników. Historia Jokera to świetny przykład ewolucji malware'u atakującego urządzenia mobilne.
Zobacz: Uwaga! 25 aplikacji z Google Play kradło hasła do Facebooka
Najnowsza wersja Jokera zyskała jeszcze jedną nowość. Cyberprzestępcy mogą wydać mu polecenie wstrzymania szkodliwych działań.
Źródło zdjęć: Check Point
Źródło tekstu: Check Point
