野生のジョーカーAndroidマルウェアの新しい波
しばらく落ち着いた後、ジョーカーの請求詐欺マルウェアがGooglePlayストアに戻ってきました。モバイルセキュリティ会社のZimperiumと協力している研究者は、Jokerマルウェアを搭載したアプリの新たな増加に関するレポートを公開しました。
Jokerモバイルマルウェアは通常、フリースウェアまたは請求詐欺マルウェアとして分類されます。写真操作アプリからモバイルゲームやメッセージングアプリに至るまで、あらゆる種類の合法的なアプリケーションに便乗します。アプリがインストールされると、Jokerはユーザーの許可や同意なしに静かにクリックを実行し始め、マルウェアの背後にいる脅威アクターによって実行および操作されるあらゆる種類の有料プレミアムサービスにユーザーをサブスクライブします。
ほとんどの場合、被害者は何が起こっているのかわからず、すべてが静かに実行され、何かが非常に間違っていることに気づき、それぞれの月の電話料金が発生しますが、その時までには少し遅れています。 Jokerは、SMSテキストを傍受して盗むこともでき、感染したデバイスに関する連絡先や情報を盗むこともできます。
ほとんどのモバイルマルウェアと同様に、公式のGoogle Playストアの外で.apkアプリケーションパッケージを探すと、Jokerを運ぶアプリパッケージに遭遇する可能性がはるかに高くなりますが、公式ストアにはJokerを運ぶアプリのインスタンスが十分にあります。あまりにも。 Zimperiumは、過去4年間で、ジョーカーを搭載した合計1800のアプリケーションがGooglePlayストアから削除されたと述べています。
削除の波が何度もあるにもかかわらず、ジョーカーの背後にいる悪意のある人物はマルウェアを微調整して改善し続けています。マルウェアが蔓延しているアプリは、セキュリティスイープに長く耐えることができませんが、ジョーカーのようなものが戻ってくるという単純な事実は、その背後にある頑固なハッカーです。
JokerがデバイスとPlayストアの両方でローカルに検出を回避するために使用する最新のトリックの1つは、暗号化を使用して難読化された、またはステガノグラフィ技術を使用して画像ファイル内に保存された.dexファイル内にペイロードをドロップすることです。一番上にあるのは、画像ファイルがリモートの正当なクラウドサービスでホストされている場合もあれば、マルウェアのコマンドアンドコントロールサーバーでホストされている場合もあるということです。
Jokerは、着陸した環境がサンドボックス化と調査に使用されるエミュレーターであるかどうかを確認することもできます。