Το malware Joker που κάνει εγγραφή στους χρήστες Android σε υπηρεσίες υψηλής ποιότητας χωρίς τη συγκατάθεσή τους, δυσκολεύει την Google, καθώς τα νέα δείγματα συνεχώς παρακάμπτουν τον έλεγχο και καταλήγουν στο Play Store.
Το malware βρίσκεται σε συνεχή εξέλιξη και τα νέα δείγματα που βρέθηκαν στο επίσημο repository Android φαίνεται να δημιουργήθηκαν ειδικά για να αποφευχθούν οι μηχανισμοί ανίχνευσης της Google.
Επίσης γνωστό ως Bread, το malware είναι ένα λογισμικό υποκλοπής spyware και premium που μπορεί να αποκτήσει πρόσβαση σε ειδοποιήσεις, να διαβάσει και να στείλει SMS. Αυτές οι δυνατότητες χρησιμοποιούνται για την αόρατη εγγραφή θυμάτων σε υπηρεσίες υψηλής ποιότητας.
Το Joker αποφεύγει τις ΗΠΑ και τον Καναδά
Οι ερευνητές του Check Point ανακάλυψαν τέσσερα νέα δείγματα στο Play Store πρόσφατα, σε εφαρμογές με αθροιστική εγκατάσταση άνω των 130.000. Το malware ήταν κρυμμένο σε φωτογραφική μηχανή, wallpaper, SMS και λογισμικό επεξεργασίας φωτογραφιών:
- app.reyflow.phote
- race.mely.wpaper
- landscape.camera.plus
- vailsmsplus
Για να αποκρύψει την κακόβουλη λειτουργικότητα σε μολυσμένες εφαρμογές, μια απλή κρυπτογράφηση XOR με ένα στατικό κλειδί εφαρμόζεται σε σχετικές συμβολοσειρές που ελέγχουν την παρουσία ενός αρχικού payload και αν δεν υπάρχει, γίνεται λήψη από ένα command and control (C2) server.
Το malware δεν στοχεύει συσκευές από τις ΗΠΑ και τον Καναδά, καθώς το Check Point ανακάλυψε μια λειτουργία που διαβάζει τις πληροφορίες του operator ειδικά για να φιλτράρει αυτές τις περιοχές.
Εάν πληρούνται οι προϋποθέσεις, το Joker επικοινωνεί με τον server C2 του για να φορτώσει ένα αρχείο διαμόρφωσης που περιέχει μια διεύθυνση URL για άλλο payload που εκτελείται αμέσως μετά τη λήψη.
Η διαδικασία του subscription είναι αόρατη για το χρήστη, καθώς οι διευθύνσεις URL για τις υπηρεσίες υψηλής ποιότητας που υπάρχουν στο αρχείο διαμόρφωσης ανοίγουν σε ένα κρυφό webview.
Ο προγραμματιστής του Joker συχνά προσαρμόζει τον κώδικα για να παραμείνει μη ανιχνεύσιμος. Η Google λέει ότι πολλά από τα δείγματα που εντοπίστηκαν εμφανίζονται να έχουν δημιουργηθεί ειδικά για διανομή μέσω του Play Store, καθώς δεν εμφανίστηκαν αλλού.
Από τότε που η Google ξεκίνησε τον εντοπισμό του Joker στις αρχές του 2017, η εταιρεία απέσυρε περίπου 1.700 μολυσμένες εφαρμογές του Play Store. Αυτό όμως δεν αποθάρρυνε τον author του malware, ο οποίος «χρησιμοποίησε σχεδόν κάθε τεχνική για να μην εντοπιστεί».
Τα νέα δείγματα του Joker εμφανίζονται σχεδόν καθημερινά στο Play Store της Google, λέει ο Aviran Hazum, ερευνητής mobile security στο Check Point.
Ο σκοπός του clicker είναι η απάτη διαφήμισης με τη μίμηση των κλικ των χρηστών σε διαφημίσεις. Η απάτη διαφημίσεων για κινητά είναι μια διαρκής πρόκληση αυτές τις μέρες, καθώς μπορεί να πάρει πολλές μορφές. Για το αδίκημα αυτό, η Google ανακοίνωσε χθες ότι απέσυρε σχεδόν 600 εφαρμογές από το επίσημο κατάστημα Android και επίσης τους απαγόρευσε από τις πλατφόρμες δημιουργίας εσόδων από διαφημίσεις, το Google AdMob και το Google Ad Manager.
Με το όνομα Haken, ο νέος κακόβουλος κώδικας βασίζεται στον εγγενή κώδικα και την έγχυση στις βιβλιοθήκες του Facebook και του AdMob και παίρνει τη διαμόρφωση από έναν απομακρυσμένο server αφού περάσει από τη διαδικασία επαλήθευσης της Google.
Το malware παρουσιάστηκε σε εφαρμογές που παρέχουν τη λειτουργικότητα διαφήμισης. Ένα σημάδι που υποδηλώνει κακόβουλη πρόθεση ζητάει δικαιώματα που δεν χρειάζεται η συμβιβαζόμενη εφαρμογή, όπως η εκτέλεση κώδικα κατά την εκκίνηση της συσκευής.
Μόλις αποκτήσει τα απαραίτητα δικαιώματα, το Haken επιτυγχάνει το στόχο του φορτώνοντας μια εγγενή βιβλιοθήκη (kagu-lib) και καταχωρεί δύο service workers.
Ο εγγενής κώδικας που καταχωρείται σε Ad-SDK (κιτ ανάπτυξης λογισμικού) επιτρέπει την διαδικασία εφαρμογής backdoor σε εφαρμογές που υπάρχουν ήδη στο Play Store, επιτρέποντας στο Haken να διατηρεί χαμηλό προφίλ και να παράγει έσοδα από δόλιες διαφημιστικές καμπάνιες.
Δεν είναι σαφές πόσο καιρό έμεινε ενεργό το malware και τα έσοδα που έχει συγκεντρώσει, αλλά ο χαμηλός αριθμός εγκαταστάσεων υποδηλώνει ότι δεν είναι μεγάλη η εξάπλωση. Αν εξακολουθούν να υπάρχουν στις συσκευές τους, οι χρήστες καλούνται να καταργήσουν τις ακόλουθες εφαρμογές:
- Kids Coloring – com.faber.kids.coloring
- Compass – com.haken.compass
- qrcode – com.haken.qrcode
- Fruits Coloring Book – com.vimotech.fruits.coloring.book
- Soccer Coloring Book – com.vimotech.soccer.coloring.book
- Fruit Jump Tower – mobi.game.fruit.jump.tower
- Ball Number Shooter – mobi.game.ball.number.shooter
- Inongdan – com.vimotech.inongdan
