Намерен в Joker фалшифициращ злонамерен софтуер в Google Play Store

В Google Play Store са открити злонамерени приложения за Android, които крият злонамерен софтуер Joker.

Във вторник изследователи по киберсигурност от ThreatLabz на Zscaler заявиха, че a общо 11 приложения са били открити наскоро и е установено, че се „качват редовно“ в официалното хранилище на приложения, което представлява приблизително 30 000 инсталирания между тях.

Семейството на зловредния софтуер Joker е добре познат вариант, който се фокусира върху компрометиране на устройства с Android. Joker е проектиран да шпионира жертвите си, да краде информация, да събира списъци с контакти и да наблюдава SMS съобщения.

Когато злонамерени приложения, съдържащи Joker, попаднат на слушалка, те могат да бъдат използвани за извършване на финансови измами, например чрез тайно изпращане на текстови съобщения до премиум номера или чрез регистриране на жертви в услуги за протокол за безжично приложение (WAP), като печелят от своите оператори парче от продължава.

Joker също така злоупотребява с алармени системи за Android, като иска разрешение за четене на всички известия. Ако е предоставено от потребителя, това позволява на зловредния софтуер да скрие известия, свързани с измамни регистрации в услугата.

Най-новият набор от нарушаващи мобилни приложения включва „Безплатен превод“, „Скенер за конвертор на PDF“, „Безплатно благоприятно съобщение“ и „луксозна клавиатура“.

Като цяло над 50 полезни натоварвания на Joker бяха открити в приложенията за Android през последните два месеца и половина, като комуналните услуги, здравето и персонализацията на устройствата бяха сред основните насочени категории приложения.

zScaler

Според изследователите операторите на Joker непрекъснато превключват своите методи, за да заобиколят механизмите за сигурност и процесите на проверка на Google Play.

“Въпреки информираността на обществеността за този конкретен зловреден софтуер, той продължава да намира пътя си на официалния пазар на приложения на Google, като използва промени в своя код, методи за изпълнение или техники за извличане на полезен товар”, казват изследователите.

В миналото сме виждали, че някои оператори на зловреден софтуер използват злонамерени актуализации за разполагане на троянски коне в приложения, които за пръв път изглеждат доброкачествени, но в случая на Joker услугите за съкращаване на URL адреси изглеждат предпочитани за извличане на първоначалните полезни товари.

„За разлика от предишната кампания, при която полезните товари бяха изтеглени от облака Alibaba, в тази кампания видяхме, че заразените с Joker приложения изтеглят полезния товар на медиатора с услуги за съкращаване на URL адреси като TinyURL, bit.ly, Rebrand.ly, zws.im или 27url. cn, за да скрие известните URL адреси на облачни услуги, обслужващи етапа на полезно натоварване “, казва ThreatLabz.

През последните месеци бяха открити както стар, така и нов вариант на Joker. Във втория случай се използва и тактиката за съкращаване на URL адреси за изтегляне и изпълнение на полезни товари от втория и последния етап.

Интерес е, че в някои проби зловредните приложения първо ще проверят за наличие на четири други приложения, които са били налични в Google Play, и ако бъдат открити, зловредният софтуер няма да внедри допълнителни полезни товари. По време на писането две от тези приложения са премахнати.

„От изброените категории приложения и имена на разработчици предполагаме, че това отново са приложения, свързани с Joker, които могат да се използват за оценка на заразените устройства“, отбеляза екипът.

ThreatLabz казва, че разпространението на злонамерения софтуер Joker, постоянното развитие на тактиката на атака и броят полезни товари, които непрекъснато се качват в хранилищата на приложения, разкриват, че авторите на зловредния софтуер непрекъснато “успяват” да заобиколят ограниченията за проверка и контрола за сигурност.

Google обаче приема сериозно отчетите за злонамерени приложения и, като този в случая, бързо премахва нарушаващите приложения Joker от Google Play.

В свързаните новини тази седмица Atlas VPN публикува изследване за състоянието на сигурността на Android. Според екипа над 60% от приложенията за Android съдържат уязвимости със средно 39 грешки на приложение.


? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com