DAJ CYNK

Joker wrócił do Google Play. Malware znów obszedł zabezpieczenia Google'a

Dodane przez: Xyrcon

Kategoria: Bezpieczeństwo

Interakcje: 7299

Joker znów jest w Google Play

Do Google Play znów prześlizgnął się malware znany jako Joker lub Bread. Szkodnik udawał użyteczne aplikacje, ale w tle zapisywał użytkowników do płatnych usług premium.

Joker jest już dobrze znany specjalistom i kontrola bezpieczeństwa w Google Play nie powinna mieć problemów z wykryciem jego obecności. Jednak cyberprzestępcy wymyślili nowy sposób, jak ukryć go w zwyczajnie wyglądających aplikacjach. Szkodliwy kod wykonywalny DEX był ukryty wewnątrz aplikacji i zakodowany algorytmem Base64. Ciąg znaków znajdował się albo w pliku Manifest aplikacji, albo w jednej z klas programu, ładowanej dzięki refleksji.

Joker w piku Manifest

Specjaliści znaleźli Jokera w tej postaci w 11 aplikacjach. Wszystkie zostały usunięte z Google Play 30 kwietnia 2020, jednak ze względów bezpieczeństwa informacje o nich nie od razu zostały podane do wiadomości publicznej. Nazwy pakietów i hashe zostały umieszczone na tej liście.

Zobacz: Malware xHelper rozpracowany. Wiemy jak przetrwał „factory reset” Androida
Zobacz: Telefon dotowany przez rząd USA zawiera złośliwe oprogramowanie

Joker jest groźny od 2017 roku

Joker został wykryty pierwszy raz w 2017 roku i od tamtej pory wraca w nowych kampaniach. Przez specjalistów jest umieszczany w czołówce najszybciej rozprzestrzeniających się zagrożeń atakujących Androida. Poza zapisywaniem ofiar do usług premium Joker może też wykradać SMS-y, kontakty i inne dane.

Do stycznia 2020 roku z Google Play zostało usuniętych ponad 1700 aplikacji zawierających Jokera. Zwykle w kampaniach wykorzystywane są użyteczne narzędzia ze sporą ilością pozytywnych, fałszywych ocen. Cyberprzestępcy wykorzystywali też wersjonowanie – dodawali Jokera do aplikacji przy okazji aktualizacji, gdy już zdobyli zaufanie użytkowników. Historia Jokera to świetny przykład ewolucji malware'u atakującego urządzenia mobilne.

Zobacz: Uwaga! 25 aplikacji z Google Play kradło hasła do Facebooka

Najnowsza wersja Jokera zyskała jeszcze jedną nowość. Cyberprzestępcy mogą wydać mu polecenie wstrzymania szkodliwych działań.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Check Point

Źródło tekstu: Check Point

Przewiń w dół do następnego wpisu