Вредоносное ПО Joker снова обошло защиту Google Play Store

Печально известное вредоносное ПО Joker скрывается в файле манифеста Android –– в этом файле содержится вся необходимая информация для работы приложения. Каждое приложение содержит этот файл. Благодаря этому Joker незаметно подписывает жертв на платные сервисы.

Команда исследователей Check Point Research рассказывает о том, как печально известное вредоносное ПО Joker уходит от защитных мер Google Play Store.

Впервые его обнаружили в 2017 году: это шпионское ПО может получить доступ к уведомлениям, читать и отправлять SMS-сообщения. Joker использует эти возможности для незаметной подписки жертв на платные услуги. Google характеризует это вредоносное ПО как постоянную угрозу, с которой он сталкивался в течение последних нескольких лет. По словам Google, Joker попробовал почти каждую технику маскировки, чтобы остаться незамеченным. 

Недавно исследователь Check Point Авиран Хазум раскрыл новый метод использования Joker. На этот раз вредоносная программа Joker скрывает вредоносный код внутри файла манифест Android в легитимных приложениях. Файл манифеста содержится в корневой папке каждого приложения, он предоставляет важную информацию о приложении, которая требуется системе Android: имя, значок и разрешения для системы Android. Только получив эту информацию, система может выполнить какой-либо код приложения. Таким образом, вредоносному ПО не требуется доступ к C&C-серверу, который контролируется киберпреступниками. Обычно этот сервер используется для отправки команд зараженным системам, которые уже скомпрометированы вредоносным ПО для загрузки полезной нагрузки –– той части вредоносного ПО, которая выполняет основную работу. 

Новый метод применения Joker можно разбить на три этапа. 

1. Создание полезной нагрузки. Joker заранее создает полезную нагрузку, вставляя ее в файл манифеста Android.

2. Отсрочка загрузки полезной нагрузки. Во время оценивания Joker даже не пытается загрузить вредоносную полезную нагрузку –– это значительно облегчает обход средств защиты Google Play Store.

3. Распространение вредоносного ПО. После того, как службы безопасности Google Play Store одобрят приложение, начинает работать вредоносная кампания –– полезная нагрузка определяется и загружается. 

Исследователи Check Point раскрыли свои выводы в Google. Все заявленные приложения (11 приложений) были удалены из Play Store к 30 апреля 2020 года. 

«Joker все время меняется, приспосабливаясь к новым условиям. Мы обнаружили, что он скрывается в файле с необходимой информацией, файле, который содержится в каждом Android-приложении, –– рассказывает Авиран Хазум, специалист по мобильным исследованиям Check Point Software Technologies. –– Наши последние исследования показывают, что защиты Google Play Store недостаточно. Мы еженедельно выявляли многочисленные случаи загрузки Joker в Google Play –– каждая из которых была произведена ничего не подозревающими пользователями. Вредоносное ПО Joker сложно обнаружить, несмотря на инвестиции Google в средства защиты Play Store. Хотя сейчас Google удалил вредоносные приложения из Play Store, можно предположить, что Joker снова вернется. Каждому пользователю желательно знать об этой программе и понимать, как можно от нее пострадать». 

Способы защиты 

Если вы подозреваете, что на вашем устройстве может быть одно из этих зараженных приложений: 

  • Удалите зараженное приложение с устройства.
  • Проверьте все счета: свой баланс сотового оператора, кредитные карты. Нужно узнать, подписаны ли вы на какие-либо платные подписки, и, если вам это не нужно, отмените подписку.
  • Установите решение безопасности, чтобы предотвратить дальнейшие заражения.

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: ПО, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

28.07.2020 В РГГУ студенты изучают электронный документооборот «в облаке»

20.07.2020 Arctic Connect пошел во льды

08.07.2020 Как выработать иммунитет против пиратского контента?

02.07.2020 TeleMultiMedia Forum: удастся ли заработать на романтической ностальгии по карантину

02.07.2020 «Цифровое будущее в эпоху перемен»: ЭОС рассказал, как перейти на удаленку

22.06.2020 Cisco адаптируется к новой нормальности

17.06.2020 Ericsson Mobility Report: COVID-19 не мешает развитию 5G

15.06.2020 РИФ.Онлайн: за что отвечают инфлюэнсеры?

NNIT.RU: последние новости Нижнего Новгорода

28.07.2020 В РГГУ студенты изучают электронный документооборот «в облаке»

20.07.2020 Arctic Connect пошел во льды

08.07.2020 Как выработать иммунитет против пиратского контента?

02.07.2020 TeleMultiMedia Forum: удастся ли заработать на романтической ностальгии по карантину

02.07.2020 «Цифровое будущее в эпоху перемен»: ЭОС рассказал, как перейти на удаленку

22.06.2020 Cisco адаптируется к новой нормальности

17.06.2020 Ericsson Mobility Report: COVID-19 не мешает развитию 5G

15.06.2020 РИФ.Онлайн: за что отвечают инфлюэнсеры?

ITSZ.RU: последние новости Петербурга

28.07.2020 В РГГУ студенты изучают электронный документооборот «в облаке»

20.07.2020 Arctic Connect пошел во льды

08.07.2020 Как выработать иммунитет против пиратского контента?

02.07.2020 TeleMultiMedia Forum: удастся ли заработать на романтической ностальгии по карантину

02.07.2020 «Цифровое будущее в эпоху перемен»: ЭОС рассказал, как перейти на удаленку

26.06.2020 Цифровые драйверы коронакризиса

22.06.2020 Cisco адаптируется к новой нормальности

17.06.2020 Ericsson Mobility Report: COVID-19 не мешает развитию 5G