Τρίτη, 31 Μαρτίου, 23:08
Αρχική security Android Malware: Το Joker κοροιδεύει την άμυνα της Google

Android Malware: Το Joker κοροιδεύει την άμυνα της Google

Το malware Joker που κάνει εγγραφή στους χρήστες Android σε υπηρεσίες υψηλής ποιότητας χωρίς τη συγκατάθεσή τους, δυσκολεύει την Google, καθώς τα νέα δείγματα συνεχώς παρακάμπτουν τον έλεγχο και καταλήγουν στο Play Store.

Το malware βρίσκεται σε συνεχή εξέλιξη και τα νέα δείγματα που βρέθηκαν στο επίσημο repository Android φαίνεται να δημιουργήθηκαν ειδικά για να αποφευχθούν οι μηχανισμοί ανίχνευσης της Google.

Επίσης γνωστό ως Bread, το malware είναι ένα λογισμικό υποκλοπής spyware και premium που μπορεί να αποκτήσει πρόσβαση σε ειδοποιήσεις, να διαβάσει και να στείλει SMS. Αυτές οι δυνατότητες χρησιμοποιούνται για την αόρατη εγγραφή θυμάτων σε υπηρεσίες υψηλής ποιότητας.

joker malware

Το Joker αποφεύγει τις ΗΠΑ και τον Καναδά

Οι ερευνητές του Check Point ανακάλυψαν τέσσερα νέα δείγματα στο Play Store πρόσφατα, σε εφαρμογές με αθροιστική εγκατάσταση άνω των 130.000. Το malware ήταν κρυμμένο σε φωτογραφική μηχανή, wallpaper, SMS και λογισμικό επεξεργασίας φωτογραφιών:

  • app.reyflow.phote
  • race.mely.wpaper
  • landscape.camera.plus
  • vailsmsplus

Για να αποκρύψει την κακόβουλη λειτουργικότητα σε μολυσμένες εφαρμογές, μια απλή κρυπτογράφηση XOR με ένα στατικό κλειδί εφαρμόζεται σε σχετικές συμβολοσειρές που ελέγχουν την παρουσία ενός αρχικού payload και αν δεν υπάρχει, γίνεται λήψη από ένα command and control (C2) server.

Το malware δεν στοχεύει συσκευές από τις ΗΠΑ και τον Καναδά, καθώς το Check Point ανακάλυψε μια λειτουργία που διαβάζει τις πληροφορίες του operator ειδικά για να φιλτράρει αυτές τις περιοχές.

Εάν πληρούνται οι προϋποθέσεις, το Joker επικοινωνεί με τον server C2 του για να φορτώσει ένα αρχείο διαμόρφωσης που περιέχει μια διεύθυνση URL για άλλο payload που εκτελείται αμέσως μετά τη λήψη.

Η διαδικασία του subscription είναι αόρατη για το χρήστη, καθώς οι διευθύνσεις URL για τις υπηρεσίες υψηλής ποιότητας που υπάρχουν στο αρχείο διαμόρφωσης ανοίγουν σε ένα κρυφό webview.

Ο προγραμματιστής του Joker συχνά προσαρμόζει τον κώδικα για να παραμείνει μη ανιχνεύσιμος. Η Google λέει ότι πολλά από τα δείγματα που εντοπίστηκαν εμφανίζονται να έχουν δημιουργηθεί ειδικά  για διανομή μέσω του Play Store, καθώς δεν εμφανίστηκαν αλλού.

Από τότε που η Google ξεκίνησε τον εντοπισμό του Joker στις αρχές του 2017, η εταιρεία απέσυρε περίπου 1.700 μολυσμένες εφαρμογές του Play Store. Αυτό όμως δεν αποθάρρυνε τον author του malware, ο οποίος «χρησιμοποίησε σχεδόν κάθε τεχνική για να μην εντοπιστεί».

Τα νέα δείγματα του Joker εμφανίζονται σχεδόν καθημερινά στο Play Store της Google, λέει ο Aviran Hazum, ερευνητής mobile security στο Check Point.

Ο σκοπός του clicker είναι η απάτη διαφήμισης με τη μίμηση των κλικ των χρηστών σε διαφημίσεις. Η απάτη διαφημίσεων για κινητά είναι μια διαρκής πρόκληση αυτές τις μέρες, καθώς μπορεί να πάρει πολλές μορφές. Για το αδίκημα αυτό, η Google ανακοίνωσε χθες ότι απέσυρε σχεδόν 600 εφαρμογές από το επίσημο κατάστημα Android και επίσης τους απαγόρευσε από τις πλατφόρμες δημιουργίας εσόδων από διαφημίσεις, το Google AdMob και το Google Ad Manager.

Με το όνομα Haken, ο νέος κακόβουλος κώδικας βασίζεται στον εγγενή κώδικα και την έγχυση στις βιβλιοθήκες του Facebook και του AdMob και παίρνει τη διαμόρφωση από έναν απομακρυσμένο server αφού περάσει από τη διαδικασία επαλήθευσης της Google.

Το malware παρουσιάστηκε σε εφαρμογές που παρέχουν τη λειτουργικότητα διαφήμισης. Ένα σημάδι που υποδηλώνει κακόβουλη πρόθεση ζητάει δικαιώματα που δεν χρειάζεται η συμβιβαζόμενη εφαρμογή, όπως η εκτέλεση κώδικα κατά την εκκίνηση της συσκευής.

Μόλις αποκτήσει τα απαραίτητα δικαιώματα, το Haken επιτυγχάνει το στόχο του φορτώνοντας μια εγγενή βιβλιοθήκη (kagu-lib) και καταχωρεί δύο service workers.

Ο εγγενής κώδικας που καταχωρείται σε Ad-SDK (κιτ ανάπτυξης λογισμικού) επιτρέπει την διαδικασία εφαρμογής backdoor σε εφαρμογές που υπάρχουν ήδη στο Play Store, επιτρέποντας στο Haken να διατηρεί χαμηλό προφίλ και να παράγει έσοδα από δόλιες διαφημιστικές καμπάνιες.

Δεν είναι σαφές πόσο καιρό έμεινε ενεργό το malware και τα έσοδα που έχει συγκεντρώσει, αλλά ο χαμηλός αριθμός εγκαταστάσεων υποδηλώνει ότι δεν είναι μεγάλη η εξάπλωση. Αν εξακολουθούν να υπάρχουν στις συσκευές τους, οι χρήστες καλούνται να καταργήσουν τις ακόλουθες εφαρμογές:

  • Kids Coloring – com.faber.kids.coloring
  • Compass – com.haken.compass
  • qrcode – com.haken.qrcode
  • Fruits Coloring Book – com.vimotech.fruits.coloring.book
  • Soccer Coloring Book – com.vimotech.soccer.coloring.book
  • Fruit Jump Tower – mobi.game.fruit.jump.tower
  • Ball Number Shooter – mobi.game.ball.number.shooter
  • Inongdan – com.vimotech.inongdan
Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Microsoft Edge – Password Monitor: Alert όταν σας κλέβουν κωδικούς πρόσβασης

Ο Microsoft Edge εισάγει μια νέα υπηρεσία η οποία ονομάζεται "Password Monitor". Η υπηρεσία αυτή, θα ειδοποιεί...

Face ID: Πως να το χρησιμοποιούμε ενώ φοράμε μάσκα προσώπου

Το Face ID της Apple είναι εξαιρετικό στην αναγνώριση προσώπων, χάρη στο σύστημα True Depth, το οποίο...

Canonical: Φέρνει νέα εργαλεία και υποστήριξη Ubuntu Linux στο Raspberry Pi

Με την κυκλοφορία του Ubuntu 19.10, η Canonical ανακοίνωσε το επίσημο roadmap για single-board υπολογιστές Raspberry Pi. Το Raspberry Pi δεν υποστηρίζει...

Εργασία από το σπίτι: Αποφύγετε αυτά τα 9 λάθη

Με την εξάπλωση του Covid-19, το μεγαλύτερο μέρος του πληθυσμού προτιμά να εργάζεται από το σπίτι. Η εργασία από το σπίτι χρειάζεται...

Η Ford θα κατασκευάσει 50,000 αναπνευστήρες τις επόμενες 100 ημέρες

Τη Δευτέρα, η Ford δήλωσε ότι θα κατασκευάσει 50.000 αναπνευστήρες σε περίοδο 100 ημερών, αρχής γενομένης από τις 20 Απριλίου, για να...

“Contagion”: Οι πρωταγωνιστές της ταινίας μιλούν για τον COVID-19!

Οι πρωταγωνιστές της ταινίας "Contagion" συνεργάστηκαν με επιστήμονες της Σχολής Δημόσιας Υγείας του πανεπιστημίου Columbia συμμετέχοντας στις ανακοινώσεις των υγειονομικών υπηρεσιών σχετικά...

Ελεύθερη πρόσβαση στο cloud σε κβαντικούς υπολογιστές της D-Wave

Η καναδική εταιρία κβαντικής πληροφορικής D-Wave, ανακοίνωσε σήμερα ότι δίνει ελεύθερη πρόσβαση στα άτομα που ασχολούνται με...

Airbnb: Διαθέτει $ 250 εκατομμύρια σε οικοδεσπότες της λόγω Κοροναϊού

Η Airbnb ανακοίνωσε ότι θα διαθέσει συνολικά $ 250 εκατομμύρια, σε μία προσπάθεια να στηρίξει τους οικοδεσπότες της σε όλο τον κόσμο,...

Το FBI προειδοποιεί: Hijackers εισβάλουν στα meeting σας στο Zoom

Το FBI προειδοποίησε σήμερα για hijackers που συμμετείχαν σε video-meetings στο Zoom που χρησιμοποιούνται για μαθήματα και επαγγελματικές συναντήσεις στο διαδίκτυο, με...

Ευρώπη κορωνοϊός: Τελικά δεν προέκυψαν μεγάλα προβλήματα συμφόρησης στο διαδίκτυο

Ο BEREC, ο οργανισμός ρύθμισης των τηλεπικοινωνιών στην Ευρώπη, δήλωσε σήμερα ότι από τη στιγμή που ξέσπασε...