Joker »- вредоносное ПО, которое подписывает вас на дорогостоящие услуги, наводняет рынки Android.

Десятки вредоносных приложений, некоторые из которых доступны в Google Play, были обнаружены за последние пару месяцев.

Дэн Гудин. 28 сен 2020, 21:21 UTC

Joker »- вредоносное ПО, которое подписывает вас на дорогостоящие услуги, наводняет рынки Android.

    Сентябрь был напряженным месяцем для вредоносных приложений для Android: десятки из них только из одного семейства вредоносных программ наводнили либо Google Play, либо сторонние рынки, говорят исследователи из компаний по безопасности.

    В конце прошлой недели исследователи из компании по безопасности Zscaler заявили, что они обнаружили новую партию, состоящую из 17 зараженных Джокером приложений, которые скачали 120 000 раз. Приложения загружались в Play постепенно в течение сентября. Между тем охранная компания Zimperium сообщила в понедельник, что исследователи компании обнаружили в сентябре 64 новых варианта Joker, большинство или все из которых были размещены в сторонних магазинах приложений.

    И, как отмечает ZDNet, исследователи из охранных фирм Pradeo и Anquanke обнаружили больше вспышек Joker в этом месяце и в июле соответственно. Anquanke сказал, что с момента первого обнаружения в декабре 2016 года было найдено более 13000 образцов.

    «Joker. одно из самых известных семейств вредоносных программ, которые постоянно нацелены на устройства Android». написал исследователь Zscaler Вирал Ганди в сообщении на прошлой неделе. «Несмотря на осведомленность об этом конкретном вредоносном ПО, оно продолжает проникать на официальный рынок приложений Google, используя изменения в своем коде, методах выполнения или методах получения полезной нагрузки».

    Цифровая ловкость рук

    Один из ключей к успеху Джокера. его обходной путь атаки. Эти приложения являются подделкой законных приложений и при загрузке из Google Play или другого магазина не содержат вредоносного кода, кроме «дроппера». После задержки в несколько часов или даже дней дроппер, который сильно запутан и содержит всего несколько строк кода, загружает вредоносный компонент и помещает его в приложение.

    Zimperium предоставил блок-схему, которая фиксирует четыре точки поворота, которые использует каждый образец Джокера. Вредоносная программа также использует методы уклонения, чтобы замаскировать загружаемые компоненты под безопасные приложения, такие как игры, обои, мессенджеры, переводчики и фоторедакторы.

    Методы уклонения включают в себя закодированные строки внутри образцов, где приложение должно загрузить dex, который представляет собой собственный файл Android, который включает пакет APK, возможно, вместе с другими dexes. Дексы замаскированы под файлы mp3.css или.json. Чтобы еще больше скрыть, Джокер использует внедрение кода, чтобы скрыться среди законных сторонних пакетов, таких как org.junit.internal, com.google.android.gms.dynamite или com.unity3d.player.UnityProvider, уже установленных на телефоне.

    «Это делается для того, чтобы аналитику вредоносных программ было труднее обнаружить вредоносный код, поскольку сторонние библиотеки обычно содержат много кода, а наличие дополнительной обфускации может еще больше усложнить задачу обнаружения внедренных классов». написал исследователь Zimperium Азим Ясвант. «Кроме того, использование легальных имен пакетов приводит к поражению наивных попыток [создания списков блокировок], но наш механизм машинного обучения z9 позволил исследователям безопасно обнаруживать вышеупомянутые уловки внедрения».

    В описании Zscaler подробно описаны три типа методов пост-загрузки, позволяющих обойти процесс проверки приложений Google: прямая загрузка, одноэтапная загрузка и двухэтапная загрузка. Несмотря на различия в доставке, конечная полезная нагрузка осталась прежней. После того, как приложение загрузило и активировало окончательную полезную нагрузку, поддельное приложение может использовать SMS-приложение пользователя, чтобы подписаться на премиальные подписки.

    Представитель Google отказался от комментариев, но отметил, что Zscaler сообщил, что компания удалила приложения после того, как о них сообщили в частном порядке.

    Послезавтра

    Поскольку вредоносные приложения проникают в Play на регулярной, часто еженедельной основе, в настоящее время практически нет никаких признаков того, что вредоносное ПО для Android будет уменьшено. Это означает, что отдельные конечные пользователи должны избегать таких приложений, как Joker. Лучший совет. быть предельно консервативным в приложениях, которые устанавливаются в первую очередь. Хороший руководящий принцип. выбирать приложения, которые служат истинной цели, и, по возможности, выбирать разработчиков, которые являются известными сущностями. Установленные приложения, которые не использовались в течение последнего месяца, следует удалить, если нет веской причины их хранить.

    Также можно использовать приложение AV от Malwarebytes, Eset, F-Secure или другого известноGoProизводителя, хотя и у них могут возникнуть проблемы с обнаружением Joker или другого вредоносного ПО.

    Источник