GryNowościOprogramowanie

„Joker” – złośliwe oprogramowanie, które rejestruje cię w drogich usługach – zalewa rynki Androida

„Joker” - złośliwe oprogramowanie, które rejestruje cię w drogich usługach - zalewa rynki Androida

Wrzesień był pracowitym miesiącem dla złośliwych aplikacji na Androida, a dziesiątki z nich z jednej rodziny złośliwego oprogramowania zalały Google Play lub rynki stron trzecich, stwierdzili badacze z firm zajmujących się bezpieczeństwem.

Znana jako Joker, ta rodzina złośliwych aplikacji atakuje użytkowników Androida od końca 2016 roku, a ostatnio stała się jednym z najpowszechniejszych zagrożeń dla Androida. Po zainstalowaniu aplikacje Joker potajemnie subskrybują użytkowników drogich usług subskrypcyjnych, a także mogą kraść wiadomości SMS, listy kontaktów i informacje o urządzeniu. W lipcu ubiegłego roku badacze stwierdzili, że Joker czai się w 11 pozornie legalnych aplikacjach pobranych z Play około 500 000 razy.

Pod koniec zeszłego tygodnia badacze z firmy zabezpieczającej Zscaler powiedzieli, że znaleźli nową partię zawierającą 17 skażonych przez Jokera aplikacji i 120 000 pobrań. Aplikacje były przesyłane do Play stopniowo we wrześniu. Tymczasem firma zabezpieczająca Zimperium poinformowała w poniedziałek, że badacze firmy znaleźli we wrześniu 64 nowe warianty Jokera, z których większość lub wszystkie zostały rozsiane w zewnętrznych sklepach z aplikacjami.

Jak zauważył ZDNet, badacze z firm ochroniarskich Pradeo i Anquanke wykryli więcej epidemii Jokera odpowiednio w tym miesiącu i lipcu. Anquanke powiedział, że znalazł ponad 13000 próbek od czasu ich pierwszego ujawnienia w grudniu 2016 roku.

„Joker to jedna z najbardziej znanych rodzin złośliwego oprogramowania, która nieustannie atakuje urządzenia z Androidem” – napisał badacz Zscaler, Viral Gandhi w zeszłotygodniowym poście. „Pomimo świadomości istnienia tego konkretnego złośliwego oprogramowania, wciąż trafia na oficjalny rynek aplikacji Google, wprowadzając zmiany w swoim kodzie, metodach wykonywania lub technikach pobierania danych”.

Cyfrowe sztuczki

Jednym z kluczy do sukcesu Jokera jest okrężny sposób ataku. Te aplikacje są podróbkami legalnych aplikacji, a po pobraniu z Play lub innego rynku nie zawierają innego złośliwego kodu niż „dropper”. Po upływie kilku godzin lub nawet dni dropper, który jest mocno zaciemniony i zawiera zaledwie kilka linijek kodu, pobiera szkodliwy komponent i umieszcza go w aplikacji.

Firma Zimperium dostarczyła schemat blokowy, który przedstawia cztery punkty obrotu używane przez każdą próbkę Jokera. Złośliwe oprogramowanie wykorzystuje również techniki unikania przeszkód, aby ukryć składniki pobierania jako niegroźne aplikacje, takie jak gry, tapety, komunikatory, tłumacze i edytory zdjęć.

Zimperium

Techniki omijania obejmują zakodowane ciągi znaków wewnątrz próbek, w których aplikacja ma pobrać plik dex, który jest plikiem natywnym dla systemu Android, który zawiera pakiet APK, prawdopodobnie wraz z innymi dexami. Deksy są zamaskowane jako pliki mp3 .css lub .json. Aby jeszcze bardziej się ukryć, Joker używa wstrzykniętego kodu, aby ukryć się wśród legalnych pakietów innych firm – takich jak org.junit.internal, com.google.android.gms.dynamite lub com.unity3d.player.UnityProvider – już zainstalowanych w telefonie.

„Ma to na celu utrudnienie analitykowi złośliwego oprogramowania wykrycie złośliwego kodu, ponieważ biblioteki innych firm zwykle zawierają dużo kodu, a obecność dodatkowego zaciemnienia może jeszcze bardziej utrudnić wykrycie wprowadzonych klas”, Napisał badacz Zimperium Aazim Yaswant. „Co więcej, używanie legalnych nazw pakietów pokonuje naiwność [blocklisting] prób, ale nasz silnik uczenia maszynowego z9 umożliwił naukowcom bezpieczne wykrywanie wspomnianych wyżej sztuczek wtrysku ”.

W raporcie Zscalera opisano trzy rodzaje technik po pobraniu, które pozwalają ominąć proces weryfikacji aplikacji Google: pobieranie bezpośrednie, pobieranie jednoetapowe i pobieranie dwuetapowe. Pomimo różnic w dostawach, ostateczna ładowność była taka sama. Po pobraniu aplikacji i aktywowaniu końcowego ładunku aplikacja knock-off ma możliwość użycia aplikacji SMS użytkownika do zarejestrowania się w celu uzyskania subskrypcji premium.

Rzecznik Google odmówił komentarza poza tym, że Zscaler poinformował, że firma usunęła aplikacje, gdy zostały zgłoszone prywatnie.

Dzień po dniu

Ponieważ złośliwe aplikacje infiltrują Play regularnie, często co tydzień, obecnie niewiele wskazuje na to, że plaga złośliwych aplikacji na Androida zostanie zmniejszona. Oznacza to, że użytkownicy końcowi powinni unikać aplikacji takich jak Joker. Najlepszą radą jest być wyjątkowo konserwatywnym w aplikacjach, które są instalowane w pierwszej kolejności. Dobrą zasadą przewodnią jest wybieranie aplikacji, które służą prawdziwemu celowi i, jeśli to możliwe, wybieranie programistów, którzy są znanymi podmiotami. Zainstalowane aplikacje, które nie były używane w ciągu ostatniego miesiąca, powinny zostać usunięte, chyba że istnieje dobry powód, aby je zachować.

Korzystanie z aplikacji antywirusowej firmy Malwarebytes, Eset, F-Secure lub innego renomowanego producenta również jest opcją, chociaż oni również mogą mieć trudności z wykryciem Jokera lub innego złośliwego oprogramowania.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook