24 Εφαρμογές Google Play που βρέθηκαν για τη διανομή του κακόβουλου λογισμικού Joker
Σύμφωνα με το Google Play, οι κακόβουλες εφαρμογές που είχαν σχεδιαστεί για να μολύνουν τους ανυποψίαστους χρήστες Android με το νέο κακόβουλο λογισμικό Joker έχουν ληφθεί συνολικά 472.000 φορές. Ο αριθμός φαίνεται σχετικά υψηλός, αλλά πρέπει να τονίσουμε ότι μπορεί να μην είναι απολύτως ακριβής. Οι τεχνικές αστρόφησης είναι αρκετά δημοφιλείς με τους κακόβουλους χειριστές, πράγμα που σημαίνει ότι ο αριθμός λήψης δεν μπορεί πάντα να είναι αξιόπιστος.
Ωστόσο, σύμφωνα με τους ερευνητές της CSIS Security Group, το κακόβουλο λογισμικό Joker παραδόθηκε μέσω 24 αιτήσεων και απευθυνόταν σε χρήστες σε 37 χώρες, συμπεριλαμβανομένων των περισσότερων κρατών μελών της ΕΕ καθώς και μερικών από τις μεγαλύτερες αγορές στην Άπω Ανατολή και Νότια Αμερική. Έτσι, δεν μιλάμε για μια μικρή εκστρατεία. Ας δούμε τι θέλησαν οι εγκληματίες να επιτύχουν με αυτό.
Table of Contents
Έξυπνες τεχνικές θωράκισης και συγκεκριμένα σύνολα στόχευσης Joker
Οι εμπειρογνώμονες της ομάδας CSIS Security δεν δήλωσαν τι είδους εφαρμογές έφεραν το κακόβουλο λογισμικό Joker, ούτε και η Google, η οποία ανίχνευσε ανεξάρτητα τις εφαρμογές και τα κατάργησε από το Play store. Αυτό σημαίνει ότι ο προσδιορισμός της ακριβούς δημογραφίας του στοχευόμενου χρήστη δεν είναι πολύ εύκολος. Είναι ασφαλές να πούμε όμως ότι αυτή δεν είναι η τυπική εκστρατεία ψεκασμού και προσευχής που στοχεύει να χτυπήσει όσο το δυνατόν περισσότερους ανθρώπους.
Παρόλο που ορισμένες από τις εφαρμογές προχωρούν με τη μόλυνση, ανεξάρτητα από το στόχο, οι περισσότερες εφαρμογές Joker έχουν προγραμματιστεί για να ελέγξουν τον αριθμό τηλεφώνου του χρήστη και να δουν αν βρίσκεται σε μια λίστα κωδικών χωρών που έχουν κωδικοποιηθεί σκληρά μέσα στην εφαρμογή. Ορισμένες από τις εφαρμογές έχουν σχεδιαστεί για να διακόψουν τη λειτουργία, αν διαπιστώσουν ότι η συσκευή ανήκει σε έναν Αμερικανό ή έναν Καναδά πολίτη. Είναι δύσκολο να πούμε αν η προσεκτική επιλογή στόχων έχει να κάνει με αυτό, αλλά σύμφωνα με τους ερευνητές, τα κομμάτια του κώδικα του Τζόκερ, καθώς και ορισμένα χαρακτηριστικά του πίνακα ελέγχου του, υποδηλώνουν ότι οι συγγραφείς είναι Κινέζοι.
Μόλις η κακόβουλη εφαρμογή αποφασίσει ότι ο στόχος είναι κατάλληλος για μόλυνση, προχωρά στη λήψη του ωφέλιμου φορτίου δεύτερης φάσης από το διακομιστή Command & Control (C & C), αλλά προσπαθεί να το κάνει όσο πιο σιωπηλά γίνεται. Η επικοινωνία με την C & C περιορίζεται στην αποστολή σύντομης αναφοράς επιτυχούς μόλυνσης και στη λήψη κρυπτογραφημένου φορτίου. Το κακόβουλο λογισμικό σχεδιάστηκε για να εκτελεί όσο το δυνατόν λιγότερες εντολές Java, γεγονός που καθιστά δύσκολο τον εντοπισμό και για να κρύβουν τις κακόβουλες εργασίες τους, ορισμένες από τις εφαρμογές που έχουν μολυνθεί από το Joker χρησιμοποιούν οθόνες εκκίνησης.
Ένα κακόβουλο πρόγραμμα συνδρομής που μπορεί να κάνει πολύ περισσότερα
Μόλις εκτελεστεί το ωφέλιμο φορτίο δεύτερης φάσης, το κακόβουλο λογισμικό Joker επικοινωνεί περιοδικά με την C & C και περιμένει για οδηγίες. Στην καμπάνια CSIS που παρατηρήθηκε, οι κακόβουλες εφαρμογές χρησιμοποιήθηκαν για την εγγραφή θυμάτων στις υπηρεσίες πληρωμής.
Η C & C στέλνει τη διεύθυνση URL και ο Joker χρησιμοποιεί το JavaScript για να το ανοίξει και να ακολουθήσει τα βήματα εγγραφής. Πολλές από τις υπηρεσίες υψηλής ποιότητας Joker απαιτούν έναν πρόσθετο κωδικό που αποστέλλεται στο χρήστη ως SMS. Το κακόβουλο λογισμικό μπορεί να διαβάσει το μήνυμα κειμένου, να ανακτήσει τον κωδικό και να ολοκληρώσει τη συνδρομή.
Οι εμπειρογνώμονες του CSIS δεν έδωσαν πάρα πολλές λεπτομέρειες σχετικά με το τι έφτασαν τα θύματα, αλλά δήλωσαν ότι ορισμένοι χρήστες στη Δανία είχαν εγγραφεί για μια υπηρεσία που κοστίζει 6,71 ευρώ (περίπου 7,40 δολάρια) την εβδομάδα.
Είναι σαφές ότι σε αυτή τη συγκεκριμένη εκστρατεία, το Joker χρησιμοποιήθηκε για να κερδίσει χρήματα. Υπάρχουν μερικά πράγματα που δείχνουν ότι μπορεί να χρησιμοποιηθεί και για άλλους σκοπούς.
Το γεγονός ότι μπορεί να διαβάζει μηνύματα κειμένου δηλώνει σαφέστατα ότι έχει τοποθετηθεί πολύς χρόνος και προσπάθεια, κάτι που δεν είναι πολύ τυπικό για κακόβουλο λογισμικό που χρησιμοποιείται για τίποτα περισσότερο από συνδρομητές για πληρωμένες υπηρεσίες. Επιπλέον, όταν οι ερευνητές του CSIS έριξαν μια πιο προσεκτική ματιά, ανακάλυψαν ότι ο Joker δεν μπορεί μόνο να διαβάσει ένα SMS, αλλά μπορεί επίσης να στείλει τα περιεχόμενά του στην C & C. Εκτός αυτού, οι εμπειρογνώμονες παρατήρησαν ότι ο Joker αποξέστησε και έστειλε λίστες επαφών των θυμάτων στους φορείς εκμετάλλευσης κακόβουλου λογισμικού. Με άλλα λόγια, με μερικές δευτερεύουσες τροποποιήσεις, το Joker μπορεί να μετατραπεί σε ένα ισχυρό εργαλείο cyberespionage.
Το κακόβουλο πρόγραμμα εμφανίζεται ξανά στο Google Play
Οι ειδικοί του CSIS επαίνεσαν την Google να καταργήσει γρήγορα και αποτελεσματικά τις κακόβουλες εφαρμογές από το Play Store. Πρέπει να ειπωθεί, ωστόσο, ότι δεν έπρεπε να εμφανιστούν στην πρώτη θέση.
Το πρόβλημα των κακόβουλων προγραμμάτων στο επίσημο κατάστημα εφαρμογών Android δεν είναι καινούργιο και η Google προσπαθεί να βρει τρόπους επίλυσης για λίγο. Δυστυχώς, παρά τα υποτιθέμενα νέα, βελτιωμένα φίλτρα και μηχανισμοί προστασίας, δεν υπάρχει έλλειψη κακόβουλων εφαρμογών που συχνά γλιστρούν μέσα στο δίχτυ. Αυτό σημαίνει ότι εξακολουθείτε να πρέπει να είστε προσεκτικοί όπως πάντα, ειδικά με το αίτημα των νέων αιτήσεων για δικαιώματα.
