Rasta 24 „Google Play“ programos, skirtos platinti kenkėjišką programą „Joker“
„Google Play“ duomenimis, kenkėjiškos programos, sukurtos užkrėsti neįtariančius „Android“ vartotojus nauja „Joker“ kenkėjiška programa, buvo atsiųstos iš viso 472 000 kartų. Skaičius atrodo gana didelis, tačiau turime pabrėžti, kad jis gali būti ne visai tikslus. „Astroturfing“ metodai yra gana populiarūs tarp kenkėjiškų programų operatorių, o tai reiškia, kad atsisiuntimo numeriu ne visada galima pasitikėti.
Nepaisant to, pasak CSIS saugumo grupės tyrėjų, kenkėjiška programinė įranga „Joker“ buvo pristatyta iš viso per 24 programas ir buvo skirta vartotojams 37 šalyse, įskaitant didžiąją dalį ES valstybių narių, taip pat kai kurias didžiausias rinkas Tolimuosiuose Rytuose ir Pietų Amerika. Taigi, mes nekalbame apie mažą kampaniją. Pažiūrėkime, ką nusikaltėliai norėjo su tuo pasiekti.
Table of Contents
Protingi užtemimo būdai ir konkretus taikymas išskiria „Joker“
„CSIS Security Group“ ekspertai nesakė, kokios programos neša „Joker“ kenkėjišką programą, ir „Google“, kuri savarankiškai aptiko programas ir pašalino jas iš „Play“ parduotuvės. Tai reiškia, kad tikslią tikslinės vartotojų bazės demografiją nėra labai lengva nustatyti. Vis dėlto galima sakyti, kad tai nėra tipiška „purškimo ir maldavimo“ kampanija, kurios tikslas - sukrėsti kuo daugiau žmonių.
Nors kai kurios programos užkrečia infekciją nepriklausomai nuo tikslo, dauguma „Joker“ programų yra suprogramuotos taip, kad patikrintų vartotojo telefono numerį ir patikrintų, ar jis yra šalies kodų sąraše, kuris yra sunkiai užkoduotas programoje. Kai kurios programos yra sukurtos nutraukti operaciją, jei mato, kad įrenginys priklauso JAV ar Kanados piliečiams. Sunku pasakyti, ar kruopštus taikinių rinkimas turi ką nors bendro, tačiau, tyrėjų teigimu, Jokerio kodo bitai, taip pat kelios jo valdymo pulto savybės rodo, kad autoriai yra kinai.
Kai kenkėjiška programa nusprendžia, kad taikinys yra tinkamas infekcijai, ji atsisiunčia antrosios pakopos naudingą krovinį iš „Command & Control“ serverio (C&C), tačiau bando tai padaryti kuo tyliau. Bendravimas su C&C apsiriboja trumpo pranešimo apie sėkmingą užkrėtimą išsiuntimu ir naudingo krovinio gavimu užšifruota forma. Kenkėjiška programa buvo sukurta vykdyti kuo mažiau „Java“ komandų, todėl sunku aptikti ir slėpti jų kenkėjiškas užduotis, kai kurios „Joker“ užkrėstos programos naudoja „purslų“ ekranus.
Aukščiausios kokybės prenumeratos kenkėjiška programa, kuri gali padaryti daug daugiau
Kai antrojo etapo naudingoji apkrova vykdoma, „Joker“ kenkėjiška programa periodiškai susisiekia su C&C ir laukia instrukcijų. Stebėtoje kampanijoje CSIS kenkėjiškos programos buvo naudojamos aukoms užsisakyti mokamas paslaugas.
C&C siunčia URL, o Joker naudoja „JavaScript“, kad jį atidarytų ir atliktų prenumeratos veiksmus. Daugeliui „Joker“ naudojamų papildomų paslaugų reikalingas papildomas kodas, kuris vartotojui siunčiamas kaip SMS. Kenkėjiška programa gali skaityti tekstinį pranešimą, nuskaityti kodą ir baigti prenumeratą.
CSIS ekspertai nepateikė per daug informacijos apie tai, kuo baigėsi aukos, tačiau jie teigė, kad kai kurie Danijos vartotojai pasirašė už paslaugą, kuri kainuoja 6,71 euro (apie 7,40 USD) per savaitę.
Akivaizdu, kad šioje kampanijoje „Joker“ buvo naudojamas uždirbti pinigus. Vis dėlto yra keletas dalykų, leidžiančių manyti, kad jis gali būti naudojamas ir kitiems tikslams.
Tai, kad ji gali skaityti tekstinius pranešimus, gana aiškiai rodo, kad tam buvo skirta daug laiko ir pastangų, o tai nėra labai būdinga kenkėjiškoms programoms, kurios naudojamos ne kas kita, kaip žmonių prenumeruojamos mokamos paslaugos. Dar daugiau, kai CSIS tyrinėtojai atidžiau pasidomėjo, jie sužinojo, kad „Joker“ gali ne tik skaityti SMS, bet ir siųsti turinį C&C. Be to, ekspertai stebėjo, kaip „Joker“ kasinėja ir siunčia kenksmingų programų operatoriams aukų kontaktinius sąrašus. Kitaip tariant, atlikus keletą nedidelių modifikacijų, „Joker“ gali būti paverstas galingu elektroninio šnipinėjimo įrankiu.
Kenkėjiška programa vėl pasirodo „Google Play“
CSIS ekspertai gyrė „Google“, kad greitai ir efektyviai pašalino kenksmingas programas iš „Play“ parduotuvės. Tačiau reikia pasakyti, kad jie visų pirma neturėjo pasirodyti.
Kenkėjiškų programų problema oficialioje „Android“ programų parduotuvėje nėra nauja, todėl „Google“ jau kurį laiką bando ieškoti būdų, kaip ją išspręsti. Deja, nepaisant tariamai naujų, patobulintų filtrų ir apsaugos mechanizmų, kenksmingų programų, kurios reguliariai slysta tinkle, netrūksta. Tai reiškia, kad vis tiek turite būti atsargūs kaip visada, ypač turėdami leidimus, kuriuos reikalauja naujos programos.
