Το Joker malware επέστρεψε στο Google Play Store αναβαθμισμένο, ώστε να αποφεύγει την ανίχνευση. Το malware κρύβεται σε εφαρμογές Android. Σύμφωνα με ερευνητές, χρησιμοποιεί νέες μεθόδους για να παρακάμψει τη διαδικασία ελέγχου εφαρμογών της Google.
Το Joker mobile trojan υπάρχει από το 2017 και μέχρι τώρα έχει βρεθεί σε συνηθισμένες, νόμιμες εφαρμογές όπως εφαρμογές κάμερας, παιχνίδια, messengers, επεξεργαστές φωτογραφιών, εφαρμογές μετάφρασης και wallpapers. Μόλις εγκατασταθούν, τα Joker apps κάνουν εγγραφή των θυμάτων σε συνδρομητικές υπηρεσίες που ελέγχονται από τους εισβολείς. Πρόκειται για έναν τύπο απάτης που χρεώνει τα θύματα (πληρωμή σε συνδρομές). Αυτή η απάτη είναι γνωστή ως “fleeceware“. Οι κακόβουλες εφαρμογές κλέβουν επίσης μηνύματα SMS, λίστες επαφών και πληροφορίες συσκευής. Συχνά, το θύμα αργεί να καταλάβει τις extra χρεώσεις.
Δείτε επίσης: Το Joker Malware ξαναχτυπά: Διαγράψτε αμέσως αυτά τα 8 Android apps
Τα κακόβουλα Joker apps εντοπίζονται συνήθως έξω από το επίσημο κατάστημα της Google, αλλά έχουν καταφέρει να περάσουν αρκετές φορές μέσα στο Google Play Store, παρακάμπτοντας τους ελέγχους. Αυτό συμβαίνει κυρίως επειδή οι δημιουργοί του κακόβουλου λογισμικού συνεχίζουν να κάνουν μικρές αλλαγές στη μεθοδολογία επίθεσης. Σύμφωνα με ερευνητές της Zimperium, περισσότερες από 1.800 εφαρμογές Android έχουν μολυνθεί με το Joker malware και έχουν αφαιρεθεί από το κατάστημα Google Play τα τελευταία τέσσερα χρόνια.
Πράσινες κηλίδες στον Άρη ανακαλύφθηκαν από τη NASA
Εκμετάλλευση Ευπαθειών: Απειλές για τη Μονάδα MELSEC
Ρομπότ ανέσυρε ραδιενεργό υλικό από το Fukushima Daiichi
Τουλάχιστον 1.000 νέα δείγματα έχουν εντοπιστεί από τον Σεπτέμβριο.
Οι εγκληματίες βρίσκουν συστηματικά νέους και μοναδικούς τρόπους για να μεταφέρουν αυτό το κακόβουλο λογισμικό σε επίσημα και ανεπίσημα καταστήματα εφαρμογών“, σύμφωνα με μια ανάλυση της Zimperium, που δημοσιεύτηκε την Τρίτη. “Ενώ δεν μένει για πολύ σε αυτά τα repositories, το persistence δείχνει πώς το mobile malware, όπως και το παραδοσιακό endpoint malware, δεν εξαφανίζεται αλλά συνεχίζει να τροποποιείται και να προχωρά“.
Οι προγραμματιστές των τελευταίων εκδόσεων του Joker malware, που άρχισαν να εμφανίζονται στα τέλη του 2020, εκμεταλλεύονται νόμιμες developer τεχνικές για να κρύψουν την πραγματική πρόθεση του payload από παραδοσιακά εργαλεία ασφάλειας.
Αυτό το καταφέρνουν πολλές φορές χρησιμοποιώντας το Flutter, ένα open-source app development kit που έχει σχεδιαστεί από την Google και επιτρέπει στους προγραμματιστές να δημιουργούν native apps για mobile, web και desktop πλατφόρμες, από ένα μόνο codebase. Η χρήση του Flutter για mobile εφαρμογές βοηθά τους εγκληματίες να ξεγελάσουν τις προστασίες του Play Store, καθώς οι σαρωτές ανίχνευσης θεωρούν ότι δεν είναι κάτι κακόβουλο.
“Λόγω του Flutter, ακόμη και κακόβουλος κώδικας εφαρμογής θα φαίνεται νόμιμος και καθαρός, ενώ πολλοί σαρωτές αναζητούν μόνο disjointed code με σφάλματα κλπ“, εξήγησαν οι ερευνητές.
Νέα κόλπα του Joker malware για την αποφυγή της ανίχνευσης
Σύμφωνα με την ανάλυση, μια άλλη τεχνική κατά της ανίχνευσης που υιοθετήθηκε πρόσφατα από τους δημιουργούς του Joker είναι η πρακτική της ενσωμάτωσης payload ως αρχείου .DEX, που μπορεί να συγκαλυφθεί με διαφορετικούς τρόπους (π.χ. να κρυφτεί μέσα σε μια εικόνα).
Άλλη νέα τακτική περιλαμβάνει τη χρήση URL shorteners για απόκρυψη των διευθύνσεων C2 και τη χρήση ενός συνδυασμού native libraries για την αποκρυπτογράφηση ενός offline payload.
Οι ερευνητές λένε ότι τα νέα δείγματα λαμβάνουν επιπλέον προφυλάξεις για να παραμείνουν κρυμμένα μετά την εγκατάσταση μιας trojanized εφαρμογής.
“Μετά την επιτυχή εγκατάσταση, η εφαρμογή που έχει μολυνθεί με το Joker malware θα εκτελέσει σάρωση χρησιμοποιώντας Google Play APIs για να ελέγξει την τελευταία έκδοση της εφαρμογής στο Google Play Store“, εξήγησαν οι ερευνητές. “Εάν η έκδοση που βρίσκεται στο κατάστημα είναι παλαιότερη από την τρέχουσα έκδοση, εκτελείται το local malware payload, μολύνοντας την κινητή συσκευή. Εάν η έκδοση στο κατάστημα είναι νεότερη από την τρέχουσα, τότε υπάρχει επικοινωνία με τους C2 για να γίνει λήψη μιας ενημερωμένης έκδοσης του payload“.
Δείτε επίσης: Google Play Store: Ενισχύεται η επαλήθευση των developers για να αποτραπούν τα scams
Οι μολυσμένες με το Joker εφαρμογές αποτελούν κίνδυνο καθώς καταφέρνουν να περνούν στο Play Store, αλλά και σε άλλα καταστήματα εφαρμογών, όπως το AppGallery (το επίσημο κατάστημα εφαρμογών για το Huawei Android). Πρόσφατα βρέθηκαν εφαρμογές που περιείχαν το Joker malware. Λέγεται ότι περισσότερες από 538.000 συσκευές είχαν κατεβάσει τις κακόβουλες εφαρμογές.
Δείτε επίσης: Joker malware: Μόλυνε πάνω από 500.000 Android συσκευές της Huawei!
Τα καλά νέα είναι ότι η μόνη ζημιά είναι οικονομική και πιθανώς προσωρινή. Οι χρήστες που έχουν εγγραφεί σε premium υπηρεσίες ως αποτέλεσμα αυτού του κακόβουλου λογισμικού μπορούν να ζητήσουν επιστροφές χρημάτων για τις εν λόγω υπηρεσίες.
Ο Josh Bohls, Διευθύνων Σύμβουλος και ιδρυτής της Inkscreen, σημείωσε νωρίτερα αυτό το έτος ότι το Joker είναι πρόβλημα και για τις εταιρείες και όχι μόνο για απλούς χρήστες, αφού οι προσωπικές συσκευές χρησιμοποιούνται συχνά για επαγγελματικούς σκοπούς.
Πηγή: Threatpost