Ερευνητές ασφαλείας ανακάλυψαν άλλο ένα περιστατικό με Android malware που κρύβεται σε εφαρμογές και κάνει εγγραφή ανυποψίαστων χρηστών σε premium υπηρεσίες, χωρίς να το γνωρίζουν. Οι ερευνητές της Check Point ανακάλυψαν ότι το περίφημο Joker malware βρήκε ένα άλλο τέχνασμα για να παρακάμψει τις προστασίες του Google Play Store: κρύβει το κακόβουλο DEX εκτελέσιμο μέσα στην εφαρμογή ως “Base64 encoded strings”, τα οποία στη συνέχεια αποκωδικοποιούνται και φορτώνονται στην παραβιασμένη συσκευή.
Μετά την αποκάλυψη των ερευνητών της Check Point, οι 11 ύποπτες εφαρμογές αφαιρέθηκαν από το Google Play Store στις 30 Απριλίου 2020.
“Το Joker malware είναι δύσκολο να εντοπιστεί, παρά την προσθήκη πρόσθετων επιπέδων προστασίας στο Google Play Store”, δήλωσε ο Aviran Hazum της Check Point, ο οποίος εντόπισε τον νέο τρόπο λειτουργίας του Joker malware. “Παρόλο που η Google αφαίρεσε τις κακόβουλες εφαρμογές από το Play Store, περιμένουμε ότι το Joker θα προσαρμοστεί ξανά”.
Το Joker malware ανακαλύφθηκε το 2017 και είναι ένα από τα πιο διαδεδομένα είδη Android malware. Είναι γνωστό για τη διάπραξη απατών, τις spyware δυνατότητές του και την κλοπή μηνυμάτων SMS, λιστών επαφών και πληροφοριών συσκευής.
To Joker μόλυνε πολλές Android εφαρμογές κατά το προηγούμενο έτος, που είχαν ανακαλυφθεί από τις CSIS Security Group, Trend Micro, Dr.Web και Kaspersky. Οι ερευνητές παρατήρησαν ότι το malware έβρισκε συνεχώς τρόπους για να εκμεταλλευτεί τα κενά στους ελέγχους ασφαλείας του Play Store.
Οι δημιουργοί του Joker malware έχουν χρησιμοποιήσει διάφορες μεθόδους για να κρύψουν την πραγματική φύση των εφαρμογών και να αποφύγουν την ανίχνευση.
“Καθώς το Play Store εισήγαγε νέες πολιτικές και το Google Play Protect ενίσχυσε τις άμυνές του, οι Joker εφαρμογές άρχισαν να ψάχνουν νέα κενά ασφαλείας“, δήλωσε η ομάδα ασφάλειας και απορρήτου του Android. “Είχαν χρησιμοποιήσει σχεδόν κάθε τεχνική απόκρυψης σε μια προσπάθεια να μην εντοπιστούν”.
Από τον Ιανουάριο του 2020, η Google έχει αφαιρέσει περισσότερες από 1.700 εφαρμογές που πέρασαν στο Play Store τα τελευταία τρία χρόνια και είχαν μολυνθεί από κακόβουλο λογισμικό.
Η νέα παραλλαγή του Joker malware που εντοπίστηκε από την Check Point επιτυγχάνει τους σκοπούς του αξιοποιώντας το manifest file της εφαρμογής, το οποίο χρησιμοποιεί για να φορτώσει ένα αρχείο DEX με κωδικοποίηση Base64.
Μια δεύτερη “ενδιάμεση” έκδοση χρησιμοποιεί μια παρόμοια τεχνική απόκρυψης του αρχείου .dex.
“Για να επιτύχει τη δυνατότητα εγγραφής των χρηστών σε premium υπηρεσίες χωρίς τη γνώση ή τη συγκατάθεσή τους, το Joker malware χρησιμοποίησε δύο κύρια στοιχεία – το Notification Listener ως μέρος της αρχικής εφαρμογής και ένα dex file που φορτώνεται από τον C&C server για την εκτέλεση της εγγραφής”, είπαν οι ερευνητές.
Η τελευταία παραλλαγή του Joker μας υπενθυμίζει πως το Android malware εξελίσσεται συνεχώς, γι΄αυτό πρέπει πάντα να είμαστε σε επιφυλακή.