24 applications Google Play distribuent le logiciel malveillant Joker

Joker Malware on Google Play

Selon Google Play, les applications malveillantes conçues pour infecter les utilisateurs d'Android sans méfiance avec le nouveau programme malveillant Joker ont été téléchargées au total 472 000 fois. Le nombre semble relativement élevé, mais il convient de souligner qu'il n'est peut-être pas tout à fait exact. Les techniques d'astroturfing sont très populaires auprès des opérateurs de programmes malveillants, ce qui signifie que le numéro de téléchargement ne peut pas toujours être fiable.

Néanmoins, selon des chercheurs du CSIS Security Group, le programme malveillant Joker a été distribué via 24 applications au total et était destiné à des utilisateurs de 37 pays, dont la plupart des États membres de l'UE et certains des plus grands marchés d'Extrême-Orient. Amérique du sud. Donc, nous ne parlons pas d'une petite campagne. Voyons ce que les criminels voulaient réaliser avec.

Des techniques d'obscurcissement intelligentes et un ciblage spécifique distinguent Joker

Les experts du CSIS Security Group n'ont pas précisé le type d'applications véhiculant le programme malveillant Joker, ni Google, qui a indépendamment détecté les applications et les a supprimées du Play Store. Cela signifie que déterminer les données démographiques exactes de la base d'utilisateurs ciblée n'est pas très facile. Cependant, il est prudent de dire que ce n'est pas la campagne typique de pulvérisation et de prière qui vise à toucher le plus grand nombre de personnes possible.

Bien que certaines applications traitent l'infection indépendamment de la cible, la plupart des applications Joker sont programmées pour vérifier le numéro de téléphone de l'utilisateur et voir s'il figure dans une liste de codes de pays codée en dur dans l'application. Certaines des applications sont conçues pour interrompre l'opération si elles constatent que l'appareil appartient à un citoyen américain ou canadien. Il est difficile de dire si le choix judicieux des cibles a quelque chose à voir avec cela, mais selon les chercheurs, des extraits du code de Joker, ainsi que quelques caractéristiques de son panneau de contrôle, suggèrent que les auteurs sont chinois.

Une fois que l'application malveillante décide que la cible est prête pour l'infection, elle télécharge la charge utile de la deuxième étape à partir du serveur Command & Control (C & C), mais elle tente de le faire le plus silencieusement possible. La communication avec le C & C se limite à l'envoi d'un bref rapport d'infection réussie et à la réception de la charge utile sous une forme cryptée. Le malware a été conçu pour exécuter aussi peu de commandes Java que possible, ce qui rend difficile la détection et le masquage de leurs tâches malveillantes. Certaines des applications infestées par Joker utilisent des écrans de démarrage.

Un programme malveillant premium qui peut faire beaucoup plus

Une fois que la charge utile de la deuxième étape est exécutée, le programme malveillant Joker contacte périodiquement le C & C et attend des instructions. Dans la campagne observée par le SCRS, les applications malveillantes ont été utilisées pour abonner des victimes à des services payants.

Le C & C envoie l'URL et Joker utilise JavaScript pour l'ouvrir et suivre les étapes de la souscription. La plupart des services premium utilisés par Joker nécessitent un code supplémentaire qui est envoyé à l'utilisateur sous forme de SMS. Le logiciel malveillant peut lire le message texte, récupérer le code et finaliser l'abonnement.

Les experts du SCRS n'ont pas fourni beaucoup de détails sur les victimes, mais ils ont déclaré que certains utilisateurs au Danemark étaient abonnés à un service coûtant 6,71 € (environ 7,40 $) par semaine.

Il est clair que dans cette campagne, Joker était utilisé pour gagner de l'argent. Cependant, il y a deux ou trois raisons de suggérer qu'il puisse être utilisé à d'autres fins.

Le fait qu’il puisse lire les messages texte indique très clairement que beaucoup de temps et d’efforts y ont été consacrés, ce qui n’est pas très typique des programmes malveillants utilisés uniquement pour abonner des utilisateurs à des services payants. De plus, quand les chercheurs du CSIS ont examiné de plus près, ils ont découvert que Joker peut non seulement lire un SMS, il peut également envoyer son contenu au contrôleur. En outre, les experts ont constaté que Joker grattait et envoyait les listes de contacts des victimes aux opérateurs des programmes malveillants. En d’autres termes, avec quelques modifications mineures, Joker peut devenir un puissant outil de cyberespionage.

Un logiciel malveillant apparaît à nouveau sur Google Play

Les experts du CSIS ont félicité Google d'avoir supprimé les applications malveillantes du Play Store de manière rapide et efficace. Il faut dire, cependant, qu'ils n'auraient pas dû apparaître en premier lieu.

Le problème des logiciels malveillants sur la boutique d'applications officielle d'Android n'est pas nouveau et Google cherche depuis plusieurs années des moyens de le résoudre. Malheureusement, malgré de prétendus nouveaux filtres améliorés et des mécanismes de protection améliorés, les applications malveillantes qui passent régulièrement à travers le réseau ne manquent pas. Cela signifie que vous devez toujours être aussi prudent que jamais, en particulier en ce qui concerne les autorisations demandées par les nouvelles applications.

September 11, 2019
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.