Злоумышленник, стоящий за вредоносным ПО Joker для Android, в очередной раз успешно разместил зараженные шпионским ПО приложениями в Play Store, официальном магазине приложений Google для Android.
Приложения Android, зараженные вредоносным ПО Joker, шпионским ПО и инструментом для набора номера премиум-класса, также известным как Bread и отслеживаемым с 2017 года, изначально были разработаны для мошенничества с SMS.
Совсем недавно создатели Joker перешли к новой тактике после того, как Google представил новые политики Play Store, которые ограничивают использование разрешений SEND_SMS и увеличивают охват Google Play Protect.
Обновленные версии этого Android-трояна теперь используются для мошенничества с мобильными биллингами, известного как мошенничество с телефонной связью. С помощью этой новой тактики операторы Joker используют вредоносные приложения, чтобы обманом заставить своих жертв подписаться на различные типы контента или покупать их через счета за мобильный телефон.
В обход защиты Google Play Store
Новый вариант Joker успешно проскользнул в Play Store и заразил пользователей Android после того, как скрыл вредоносную полезную нагрузку в виде dex-файла, скрытого в форме o строки в кодировке Base64 в файлах AndroidManifest, казалось бы, безобидных приложений (используемых для предоставления инструментов сборки Android, ОС Android и магазин Google Play с важной информацией о приложениях).
Это позволяет вредоносному ПО успешно избегать обнаружения при анализе во время процесса отправки и устранять необходимость подключения к серверу управления и контроля (C2) для загрузки вредоносных компонентов на скомпрометированные устройства.
В целом исследователи Check Point, обнаружившие новый вариант Joker, сообщили в Google об 11 приложениях, которые были удалены с официального рынка Android к 30 апреля 2020 года.
Менеджер Check Point по мобильным исследованиям Авиран Хазум говорит, что новый метод заражения, используемый Joker, включает следующие три этапа:
1. Сначала создайте полезную нагрузку : Joker заранее создает полезную нагрузку, вставляя ее в файл манифеста Android.
2. Пропустить загрузку полезной нагрузки : во время оценки Joker даже не пытается загрузить вредоносную полезную нагрузку, что значительно упрощает обход защиты Google Play Store.
3. Распространение вредоносного ПО : после периода оценки, после того, как оно было одобрено, кампания начинает работать, вредоносная полезная нагрузка определяется и загружается.
«Joker адаптировался. Мы обнаружили, что он скрывается в файле« важной информации », который должен иметь каждое приложение Android», – объясняет Хазум.
«Наши последние результаты показывают, что защиты Google Play Store недостаточно. Мы смогли обнаружить множество случаев загрузки Joker на еженедельной основе в Google Play, причем все они были загружены ничего не подозревающими пользователями».
Пользователям, которые подозревают, что они могли быть заражены одним из этих приложений, зараженных Joker, рекомендуется удалить зараженные приложения со своего устройства Android.
Им также следует проверить свои мобильные счета и счета по кредитной карте на наличие новых подписок и немедленно отказаться от подписки (если возможно).
Постоянно адаптируясь к тактике, чтобы незаметно проскользнуть в Play Store
В январе 2020 года Google заявила, что около 1700 приложений, зараженных вредоносным ПО Joker, были удалены из Play Store с помощью Google Play Protect с тех пор, как компания начала отслеживать их в начале 2017 года.
По крайней мере, один набор таких вредоносных приложений для Android смог попасть в Play Store, что было обнаружено исследователями безопасности CSIS Security Group, которые в сентябре 2019 года обнаружили на торговой площадке 24 приложения с более чем 472000 загрузок.
«Чистый объем, по-видимому, является предпочтительным подходом для разработчиков Bread», – заявили тогда Алек Гертин и Вадим Котов из команды Android Security & Privacy Team.
«В разное время мы видели три или более активных варианта, использующих разные подходы или нацеленных на разных операторов. [..] В пиковые периоды активности мы видели до 23 различных приложений из этого семейства, отправленных в Google Play за один день».
Создатели Joker постоянно вынуждены менять тактику и искать бреши в защите Play Store, поскольку Google вводит новые политики, а Google Play Protect масштабирует и адаптирует свою защиту.
«В какой-то момент они использовали практически все методы маскировки и обфускации под солнцем, пытаясь остаться незамеченными», – сказали Гертен и Котов.
«Многие из этих образцов, по-видимому, созданы специально для того, чтобы попытаться незаметно проскользнуть в Play Store, и их больше нигде не видно».
Источник https://bdroid.ru/