24 Google Play Apps zur Verbreitung der Joker-Malware
Laut Google Play wurden die bösartigen Apps, mit denen ahnungslose Android-Nutzer mit der neuen Joker-Malware infiziert werden sollten, insgesamt 472.000 Mal heruntergeladen. Die Zahl scheint relativ hoch zu sein, aber wir müssen darauf hinweisen, dass sie möglicherweise nicht ganz genau ist. Astroturfing-Techniken sind bei Malware-Betreibern sehr beliebt, was bedeutet, dass die Download-Nummer nicht immer vertrauenswürdig ist.
Nach Angaben von Forschern der CSIS Security Group wurde die Joker-Malware jedoch über insgesamt 24 Anwendungen verbreitet und richtete sich an Benutzer in 37 Ländern, darunter die meisten EU-Mitgliedstaaten sowie einige der größten Märkte in Fernost und Japan Südamerika. Wir sprechen also nicht von einer kleinen Kampagne. Mal sehen, was die Kriminellen damit erreichen wollten.
Table of Contents
Durchdachte Verschleierungstechniken und gezielte Ausrichtung zeichnen Joker aus
Die Experten der CSIS Security Group sagten nicht, welche Art von Anwendungen die Joker-Malware enthielten, und auch nicht Google, das die Apps unabhängig erkannte und sie aus dem Play Store entfernte. Dies bedeutet, dass es nicht einfach ist, die genaue Demografie der Zielgruppe zu bestimmen. Man kann jedoch mit Sicherheit sagen, dass dies nicht die typische Spray-and-Pray-Kampagne ist, die darauf abzielt, so viele Menschen wie möglich zu treffen.
Obwohl einige der Anwendungen unabhängig vom Ziel mit der Infektion fortfahren, sind die meisten Joker-Apps so programmiert, dass sie die Telefonnummer des Benutzers überprüfen und feststellen, ob sie in einer Liste von Ländercodes enthalten sind, die in der Anwendung fest codiert sind. Einige der Apps sind so konzipiert, dass sie den Vorgang abbrechen, wenn sie feststellen, dass das Gerät einem US-amerikanischen oder kanadischen Staatsbürger gehört. Es ist schwer zu sagen, ob die sorgfältige Auswahl von Zielen etwas damit zu tun hat, aber den Forschern zufolge deuten Teile des Joker-Codes sowie einige Merkmale des Kontrollfelds darauf hin, dass die Autoren Chinesen sind.
Sobald die böswillige App feststellt, dass das Ziel für eine Infektion geeignet ist, lädt sie die Nutzdaten der zweiten Stufe vom Command & Control-Server (C & C) herunter, versucht dies jedoch so leise wie möglich. Die Kommunikation mit dem C & C beschränkt sich auf das Versenden eines kurzen Berichts über eine erfolgreiche Infektion und den Empfang der Nutzlast in verschlüsselter Form. Die Malware wurde entwickelt, um so wenig Java-Befehle wie möglich auszuführen. Dies erschwert das Erkennen und Verbergen bösartiger Aufgaben. Einige von Joker infizierte Apps verwenden Begrüßungsbildschirme.
Eine Premium-Abonnement-Malware, die viel mehr kann
Sobald die Nutzdaten der zweiten Stufe ausgeführt wurden, nimmt die Joker-Malware regelmäßig Kontakt mit dem C & C auf und wartet auf Anweisungen. In der von CSIS beobachteten Kampagne wurden die böswilligen Anwendungen verwendet, um Opfer kostenpflichtiger Dienste zu abonnieren.
Der C & C sendet die URL und Joker verwendet JavaScript, um sie zu öffnen und die Abonnementschritte auszuführen. Viele der von Joker verwendeten Premiumdienste erfordern einen zusätzlichen Code, der als SMS an den Benutzer gesendet wird. Die Malware kann die SMS lesen, den Code abrufen und das Abonnement abschließen.
Die Experten von CSIS gaben nicht allzu viele Details darüber an, was die Opfer angerichtet haben, aber sie sagten, dass einige Benutzer in Dänemark für einen Dienst angemeldet wurden, der 6,71 € pro Woche kostet.
Es ist klar, dass in dieser speziellen Kampagne Joker zum Geldverdienen verwendet wurde. Es gibt jedoch einige Anhaltspunkte dafür, dass es auch für andere Zwecke eingesetzt werden kann.
Die Tatsache, dass es Textnachrichten lesen kann, zeigt deutlich, dass viel Zeit und Mühe aufgewendet wurde, was nicht sehr typisch für Malware ist, die nur zum Abonnieren von Personen für kostenpflichtige Dienste verwendet wird. Bei genauerem Hinsehen stellten die CSIS-Forscher fest, dass Joker nicht nur eine SMS lesen, sondern auch deren Inhalt an C & C senden kann. Darüber hinaus beobachteten die Experten, wie Joker die Kontaktlisten der Opfer kratzte und an die Betreiber der Malware sendete. Mit anderen Worten, mit ein paar kleinen Modifikationen kann Joker in ein leistungsstarkes Cyberspionage-Tool verwandelt werden.
Malware wird erneut in Google Play angezeigt
Die Experten von CSIS lobten Google für das schnelle und effiziente Entfernen der schädlichen Apps aus dem Play Store. Es muss jedoch gesagt werden, dass sie gar nicht erst hätten auftauchen dürfen.
Das Problem der Malware im offiziellen App Store von Android ist nicht neu , und Google versucht bereits seit einiger Zeit, es zu lösen. Leider gibt es trotz vermeintlich neuer, verbesserter Filter und Schutzmechanismen keinen Mangel an schädlichen Anwendungen, die regelmäßig durch das Netz gleiten. Dies bedeutet, dass Sie immer noch vorsichtig sein müssen, insbesondere bei der Anforderung der Berechtigungen für neue Apps.
