01.10.2020
Троян Joker стал большой проблемой для Google, поскольку он продолжает появляться в теневых приложениях, чтобы заразить пользователей магазина Google Play.
В магазине мобильных приложений Google очень часто стали обнаруживать вредоносное ПО. Хотя компания использует Google Play Protect для сканирования и проверки приложений, содержащих вредоносное ПО, опытные киберпреступники могут придумать способы обойти эту защиту.
Вредоносное ПО Joker, которое всегда было проблемой для Google, появилось несколько месяцев назад и ускользнуло от Google Play Protect, чтобы заразить законные приложения и подписать людей на премиальные услуги. В сообщении блога, опубликованном поставщиком данных о киберугрозах Check Point Research, объясняется, как работала эта новая версия и что делать, если вы считаете, что одно из приложений все еще может быть на вашем устройстве Android.
Обнаруженная Check Point вредоносная программа представляла собой новую разновидность шпионских программ Joker Dropper и Premium Dialer. Эта новая версия, скрывающаяся в законных приложениях, смогла загрузить дополнительное вредоносное ПО на устройства Android. После установки этот вариант Joker будет подписывать пользователей на премиальные услуги без их одобрения, что является ярким примером мошенничества при выставлении счетов.
Исследователи Check Point сообщили о своих результатах Google, который после удалил из Google Play 11 идентифицированных приложений. Однако открытие показывает, что защиту Google Play Store могут обмануть преступники и хакеры, которые знают, как создавать программы, скрывающие свои злой умысел.
Новый вариант Joker использовал два компонента для регистрации людей в качестве подписчиков на платные услуги премиум-класса. Одним из компонентов была служба прослушивания уведомлений, которая используется для изучения любых push-уведомлений, полученных на устройстве.
Другим компонентом был динамический dex-файл, загруженный с сервера Command & Control для регистрации пользователя в премиум-сервисах. Файл Dex или Dalvik исполняемый файл содержит код, предназначенный для исполнения в среде Android среды выполнения. Чтобы скрыть истинные цели вредоносного ПО, хакер скрыл dex-файл от просмотра, но при этом удостоверился в возможности его загрузки.
В двух словах, Joker действовал в три этапа:
Check Point предоставил названия пакетов и названия в Google Play для каждого из 11 зараженных приложений:
Joker адаптировался. Было обнаружено, что он скрывается в файле с «важной информацией», который требуется каждому приложению Android. Последние результаты CheckPoint показывают, что защиты Google Play Store недостаточно. Обнаружилось множество случаев загрузки Joker в Google Play.
Вредоносную программу Joker сложно обнаружить, несмотря на инвестиции Google в добавление средств защиты Play Store. Хотя Google удалил вредоносные приложения из Play Store, вполне можно ожидать, что Joker снова адаптируется. Каждый должен найти время, чтобы понять, что такое Joker и как он вредит обычным людям.
Для пользователей Android, которые подозревают, что у них может быть одно или несколько зараженных приложений, Check Point предлагает следующие три совета:
Вредоносное ПО Joker, которое всегда было проблемой для Google, появилось несколько месяцев назад и ускользнуло от Google Play Protect, чтобы заразить законные приложения и подписать людей на премиальные услуги. В сообщении блога, опубликованном поставщиком данных о киберугрозах Check Point Research, объясняется, как работала эта новая версия и что делать, если вы считаете, что одно из приложений все еще может быть на вашем устройстве Android.
Check point обнаружил Joker
Обнаруженная Check Point вредоносная программа представляла собой новую разновидность шпионских программ Joker Dropper и Premium Dialer. Эта новая версия, скрывающаяся в законных приложениях, смогла загрузить дополнительное вредоносное ПО на устройства Android. После установки этот вариант Joker будет подписывать пользователей на премиальные услуги без их одобрения, что является ярким примером мошенничества при выставлении счетов.
Исследователи Check Point сообщили о своих результатах Google, который после удалил из Google Play 11 идентифицированных приложений. Однако открытие показывает, что защиту Google Play Store могут обмануть преступники и хакеры, которые знают, как создавать программы, скрывающие свои злой умысел.
Компоненты Joker
Новый вариант Joker использовал два компонента для регистрации людей в качестве подписчиков на платные услуги премиум-класса. Одним из компонентов была служба прослушивания уведомлений, которая используется для изучения любых push-уведомлений, полученных на устройстве.
Другим компонентом был динамический dex-файл, загруженный с сервера Command & Control для регистрации пользователя в премиум-сервисах. Файл Dex или Dalvik исполняемый файл содержит код, предназначенный для исполнения в среде Android среды выполнения. Чтобы скрыть истинные цели вредоносного ПО, хакер скрыл dex-файл от просмотра, но при этом удостоверился в возможности его загрузки.
Этапы воздействия Joker
В двух словах, Joker действовал в три этапа:
- Сначала создавал полезную нагрузку. Joker заранее собирает полезную нагрузку, вставляя ее в файл манифеста Android.
- Пропускает загрузку полезной нагрузки. Во время оценки Joker даже не пытается загрузить вредоносную полезную нагрузку, что значительно упрощает обход защиты Google Play Store.
- Распространяется вредоносное ПО. После периода оценки и утверждения приложения кампания начинает работу, загружая вредоносные данные.
Список зараженных приложений
Check Point предоставил названия пакетов и названия в Google Play для каждого из 11 зараженных приложений:
- com.imagecompress.android - сжатие изображений
- com.contact.withme.texts - сообщения
- com.hmvoice.friendsms - СМС
- com.relax.relaxation.androidsms - приложение для релаксации
- com.cheery.message.sendsms - сообщения
- com.cheery.message.sendsms - сообщения
- com.peason.lovinglovemessage - знакомства
- com.file.recovefiles - восстановление файлов
- com.LPlocker.lockapps - Блокировщик приложений
- com.remindme.alram - будильник
- com.training.memorygame - игра на память
Joker адаптировался. Было обнаружено, что он скрывается в файле с «важной информацией», который требуется каждому приложению Android. Последние результаты CheckPoint показывают, что защиты Google Play Store недостаточно. Обнаружилось множество случаев загрузки Joker в Google Play.
Вредоносную программу Joker сложно обнаружить, несмотря на инвестиции Google в добавление средств защиты Play Store. Хотя Google удалил вредоносные приложения из Play Store, вполне можно ожидать, что Joker снова адаптируется. Каждый должен найти время, чтобы понять, что такое Joker и как он вредит обычным людям.
Советы по профилактике Joker
Для пользователей Android, которые подозревают, что у них может быть одно или несколько зараженных приложений, Check Point предлагает следующие три совета:
- Удалите зараженное приложение с вашего устройства.
- Проверьте свои счета за мобильный телефон и кредитную карту, чтобы узнать, подписаны ли вы на какие-либо подписки, и, если возможно, откажитесь от подписки.
- Установите решение безопасности, чтобы предотвратить заражение в будущем.
