Вредоносная программа Devilish Joker для Android снова проникла в магазин Google Play

Вредоносное приложение Joker для Android снова наносит удар по магазину Google Play
Вредоносное ПО для мошенничества с выставлением счетов и кражи SMS, известное как Joker, вернулось в магазин Google Play после взлетов и падений, начиная с 2017 года. магазин.
Джокер , замаскированный под выглядящие законными приложениями, может красть текстовые сообщения , списки контактов и информацию об устройстве, а затем подписывать пользователей на нежелательные платные и премиальные услуги. К счастью, за последние несколько лет из магазина Google Play были удалены тысячи Android-приложений, зараженных Joker, но, похоже, этого было недостаточно.

Android-приложение PlayStore снова наносит вредоносное ПО Joker в магазине Google Play

По словам исследователей из Zimperium zLabs , с сентября 2020 года, когда произошла последняя волна тейкдаунов Джокера , кое-что изменилось . Возможно, больше всего беспокоит то, что злоумышленники начали использовать законные методы разработки, чтобы скрыться, впоследствии скрывая полезную нагрузку от наборов инструментов безопасности. Кроме того, «они начинают с использования общей платформы Flutter для кодирования приложения так, как это обычно видят традиционные сканеры».
Злоумышленник также может скрыть полезную нагрузку в зашифрованных файлах .dex или обычных файлах .dex в изображениях с помощью стеганографии. В любом случае, после установки приложения, зараженные Joker, запускают сканирование с использованием API Google Play, чтобы определить, является ли это последней версией приложения. Если это последняя версия приложения или нет ответа, «вредоносная программа молчит, поскольку может работать на эмуляторе динамического анализа».

Блок-схема Android-приложения, вредоносное ПО Joker снова наносит удар по магазину Google Play
Блок-схема вредоносных программ Zimperium zLabs Joker

Только когда версия приложения старше версии в Google Play, запускается полезная нагрузка, которая затем при необходимости обновляется для заражения устройства. После запуска у Joker есть некоторые другие приемы, такие как использование сокращений URL-адресов для сокрытия адресов серверов управления и контроля (C2) и использование «комбинации собственных библиотек для расшифровки автономной полезной нагрузки из активов APK или подключения к C&C для полезной нагрузки. ”

Как оказалось, и потребители, и корпоративные пользователи Google Play подвергаются риску из-за того, что зараженные приложения прокрадываются мимо Google. Конечно, всегда полезно проявлять должную осмотрительность при установке чего-либо, что также относится к приложениям. Хотя некоторые приложения могут выглядеть законными, любой может провести небольшое исследование в магазине Google Play, чтобы проверить отзывы, количество загрузок, дату публикации и имя издателя.

Если зараженное приложение затем пройдет этот фильтр, людям придется вручную очищать свои устройства. К счастью, вредоносное ПО, подобное этому, обычно приводит к краткосрочным финансовым потерям, если его обнаруживают достаточно рано, но с этим все равно не стоит иметь дело.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал