24 Google Play-apps fundet for at distribuere Joker Malware

Joker Malware on Google Play

Ifølge Google Play blev de ondsindede apps, der var designet til at inficere intetanende Android-brugere med den nye malware Joker, downloadet i alt 472.000 gange. Antallet synes relativt højt, men vi må påpege, at det muligvis ikke er helt nøjagtigt. Astroturfing-teknikker er temmelig populære hos malware-operatører, hvilket betyder, at download-nummeret ikke altid kan stole på.

Ikke desto mindre blev Joker-malware ifølge forskere fra CSIS Security Group leveret gennem i alt 24 applikationer og var rettet mod brugere i 37 lande, herunder de fleste af EU-medlemslandene samt nogle af de største markeder i Fjernøsten og Sydamerika. Så vi taler ikke om en lille kampagne. Lad os se, hvad de kriminelle ønskede at opnå med det.

Smarte tilsløringsteknikker og specifik målretning adskiller Joker

CSIS Security Groups eksperter sagde ikke, hvilken slags applikationer der transporterede Joker malware, og heller ikke Google, som uafhængigt opdagede apps og fjernede dem fra Play-butikken. Dette betyder, at det ikke er meget let at bestemme den nøjagtige demografi af den målrettede brugerbase. Det er dog sikkert at sige, at dette ikke er den typiske spray-og-bede-kampagne, der sigter mod at ramme så mange mennesker som muligt.

Selvom nogle af applikationerne fortsætter med infektionen uanset målet, er de fleste af Joker-apps programmeret til at kontrollere brugerens telefonnummer og se, om det er på en liste over landekoder, der er hårdkodet inde i applikationen. Nogle af apps er designet til at afbryde handlingen, hvis de ser, at enheden tilhører en amerikansk eller en canadisk statsborger. Det er vanskeligt at sige, om den omhyggelige udvælgelse af mål har noget at gøre med det, men ifølge forskerne antyder bits af Jokers kode såvel som et par karakteristika ved dets kontrolpanel, at forfatterne er kinesiske.

Når den ondsindede app beslutter, at målet er egnet til infektion, fortsætter den med at downloade den anden fase nyttelast fra Command & Control-serveren (C&C), men den prøver at gøre det så lydløst som muligt. Kommunikationen med C&C er begrænset til at sende en kort rapport om en vellykket infektion og modtage nyttelasten i en krypteret form. Malwaren blev designet til at udføre så få Java-kommandoer som muligt, hvilket gør det svært at opdage og skjule deres ondsindede opgaver, nogle af de Joker-inficerede apps bruger splashskærme.

En malware-premiumabonnement, der kan gøre meget mere

Når nyttelasten i anden fase er udført, kontakter Joker-malware regelmæssigt C&C og venter på instruktioner. I den observerede kampagne, CSIS, blev de ondsindede applikationer brugt til at abonnere ofre på betalte tjenester.

C&C sender URL'en, og Joker bruger JavaScript til at åbne den og følge abonnementstrinnene. Mange af de premium-tjenester, som Joker bruger, kræver en ekstra kode, der sendes til brugeren som en SMS. Malware kan læse tekstbeskeden, hente koden og fuldføre abonnementet.

CSIS 'eksperter gav ikke for mange detaljer om, hvad ofrene endte med, men de sagde, at nogle brugere i Danmark blev tilmeldt en service, der koster €6,71 (ca. $7,40) om ugen.

Det er klart, at i denne særlige kampagne blev Joker brugt til at tjene penge. Der er dog et par ting, der antyder, at det også kan bruges til andre formål.

Det faktum, at det kan læse tekstbeskeder, indikerer ganske tydeligt, at der blev lagt en masse tid og kræfter på det, hvilket ikke er meget typisk for malware, der kun bruges til at abonnere på betalte tjenester. Hvad mere er, når CSIS 'forskere kiggede nærmere på, fandt de ud af, at Joker ikke kun kan læse en SMS, men den også kan sende sit indhold til C&C. Derudover observerede eksperterne Joker skraber og sendte ofrenes kontaktlister til malware's operatører. Med andre ord, med et par mindre ændringer, kan Joker omdannes til et stærkt cyberespionage-værktøj.

Malware vises på Google Play igen

CSIS 'eksperter roste Google for at fjerne de ondsindede apps hurtigt og effektivt fra Play-butikken. Det må dog siges, at de ikke burde have optrådt i første omgang.

Problemet med malware i Android's officielle app store er ikke nyt, og Google har forsøgt at finde måder at løse det i et stykke tid nu. På trods af angiveligt nye forbedrede filtre og beskyttelsesmekanismer er der desværre ingen mangel på ondsindede applikationer, der regelmæssigt glider gennem nettet. Dette betyder, at du stadig skal være så forsigtig som nogensinde, især med de tilladelser, som nye apps anmoder om.

November 28, 2019
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.