Вредоносное ПО Joker снова обошло защиту Google Play Store

Печально известное вредоносное ПО Joker скрывается в файле манифеста Android –– в этом файле содержится вся необходимая информация для работы приложения. Каждое приложение содержит этот файл. Благодаря этому Joker незаметно подписывает жертв на платные сервисы.

Команда исследователей Check Point Research рассказывает о том, как печально известное вредоносное ПО Joker уходит от защитных мер Google Play Store.

Впервые его обнаружили в 2017 году: это шпионское ПО может получить доступ к уведомлениям, читать и отправлять SMS-сообщения. Joker использует эти возможности для незаметной подписки жертв на платные услуги. Google характеризует это вредоносное ПО как постоянную угрозу, с которой он сталкивался в течение последних нескольких лет. По словам Google, Joker попробовал почти каждую технику маскировки, чтобы остаться незамеченным. 

Недавно исследователь Check Point Авиран Хазум раскрыл новый метод использования Joker. На этот раз вредоносная программа Joker скрывает вредоносный код внутри файла манифест Android в легитимных приложениях. Файл манифеста содержится в корневой папке каждого приложения, он предоставляет важную информацию о приложении, которая требуется системе Android: имя, значок и разрешения для системы Android. Только получив эту информацию, система может выполнить какой-либо код приложения. Таким образом, вредоносному ПО не требуется доступ к C&C-серверу, который контролируется киберпреступниками. Обычно этот сервер используется для отправки команд зараженным системам, которые уже скомпрометированы вредоносным ПО для загрузки полезной нагрузки –– той части вредоносного ПО, которая выполняет основную работу. 

Новый метод применения Joker можно разбить на три этапа. 

1. Создание полезной нагрузки. Joker заранее создает полезную нагрузку, вставляя ее в файл манифеста Android.

2. Отсрочка загрузки полезной нагрузки. Во время оценивания Joker даже не пытается загрузить вредоносную полезную нагрузку –– это значительно облегчает обход средств защиты Google Play Store.

3. Распространение вредоносного ПО. После того, как службы безопасности Google Play Store одобрят приложение, начинает работать вредоносная кампания –– полезная нагрузка определяется и загружается. 

Исследователи Check Point раскрыли свои выводы в Google. Все заявленные приложения (11 приложений) были удалены из Play Store к 30 апреля 2020 года. 

«Joker все время меняется, приспосабливаясь к новым условиям. Мы обнаружили, что он скрывается в файле с необходимой информацией, файле, который содержится в каждом Android-приложении, –– рассказывает Авиран Хазум, специалист по мобильным исследованиям Check Point Software Technologies. –– Наши последние исследования показывают, что защиты Google Play Store недостаточно. Мы еженедельно выявляли многочисленные случаи загрузки Joker в Google Play –– каждая из которых была произведена ничего не подозревающими пользователями. Вредоносное ПО Joker сложно обнаружить, несмотря на инвестиции Google в средства защиты Play Store. Хотя сейчас Google удалил вредоносные приложения из Play Store, можно предположить, что Joker снова вернется. Каждому пользователю желательно знать об этой программе и понимать, как можно от нее пострадать». 

Способы защиты 

Если вы подозреваете, что на вашем устройстве может быть одно из этих зараженных приложений: 

  • Удалите зараженное приложение с устройства.
  • Проверьте все счета: свой баланс сотового оператора, кредитные карты. Нужно узнать, подписаны ли вы на какие-либо платные подписки, и, если вам это не нужно, отмените подписку.
  • Установите решение безопасности, чтобы предотвратить дальнейшие заражения.

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: ПО, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

25.11.2020 Gartner определил ведущие тренды для ИТ-директоров

25.11.2020 Импортозамещение в сегменте ПО может ускориться

19.11.2020 Рынок онлайн-торговли нацелился на рекорды

17.11.2020 3 кита рынка смартфонов эпохи коронавируса

13.11.2020 ВТБ развивает онлайн

10.11.2020 Selectel запускает бесплатную защиту от DDoS-атак

30.10.2020 Опыт применения СЭД/ECM-решений ЭОС в условиях ковид-ограничений представлен на заседании комитета АПКИТ

30.10.2020 ПСС ГРАЙТЕК обсудила актуальные вопросы цифровизации на 100+ Forum Russia

NNIT.RU: последние новости Нижнего Новгорода

25.11.2020 Gartner определил ведущие тренды для ИТ-директоров

25.11.2020 Импортозамещение в сегменте ПО может ускориться

19.11.2020 Рынок онлайн-торговли нацелился на рекорды

17.11.2020 3 кита рынка смартфонов эпохи коронавируса

13.11.2020 ВТБ развивает онлайн

10.11.2020 Selectel запускает бесплатную защиту от DDoS-атак

30.10.2020 Опыт применения СЭД/ECM-решений ЭОС в условиях ковид-ограничений представлен на заседании комитета АПКИТ

30.10.2020 ПСС ГРАЙТЕК обсудила актуальные вопросы цифровизации на 100+ Forum Russia

ITSZ.RU: последние новости Петербурга

25.11.2020 Gartner определил ведущие тренды для ИТ-директоров

25.11.2020 Импортозамещение в сегменте ПО может ускориться

19.11.2020 Петербуржцы в онлайн-шопинге предпочитают локальные и зарубежные магазины

17.11.2020 3 кита рынка смартфонов эпохи коронавируса

13.11.2020 ВТБ развивает онлайн

10.11.2020 Selectel запускает бесплатную защиту от DDoS-атак

30.10.2020 Опыт применения СЭД/ECM-решений ЭОС в условиях ковид-ограничений представлен на заседании комитета АПКИТ

30.10.2020 ПСС ГРАЙТЕК обсудила актуальные вопросы цифровизации на 100+ Forum Russia