24 Google Play-apper funnet for å distribuere Joker Malware
I følge Google Play ble de ondsinnede appene som ble designet for å infisere intetanende Android-brukere med den nye Joker-malware skadet, totalt 472 000 ganger. Antallet virker relativt høyt, men vi må påpeke at det kanskje ikke er helt nøyaktig. Astroturfing-teknikker er ganske populære blant malware-operatører, noe som betyr at nedlastingsnummeret ikke alltid kan stole på.
Ikke desto mindre, ifølge forskere fra CSIS Security Group, ble Joker-malware skadet gjennom totalt 24 applikasjoner og var rettet mot brukere i 37 land, inkludert de fleste av EUs medlemsland, så vel som noen av de største markedene i Østen og Sør Amerika. Så vi snakker ikke om en liten kampanje. La oss se hva kriminelle ønsket å oppnå med det.
Table of Contents
Smarte tilsløringsteknikker og spesifikk målretting skiller Joker fra hverandre
CSIS Security Groups eksperter sa ikke hva slags applikasjoner som hadde Joker-skadelig programvare, og heller ikke Google, som uavhengig oppdaget appene og fjernet dem fra Play-butikken. Dette betyr at det ikke er veldig enkelt å bestemme den eksakte demografien til den målrettede brukerbasen. Det er imidlertid trygt å si at dette ikke er den typiske spray-and-be-kampanjen som tar sikte på å treffe så mange mennesker som mulig.
Selv om noen av applikasjonene fortsetter med infeksjonen uansett mål, er de fleste av Joker-appene programmert for å sjekke brukerens telefonnummer og se om det er på en liste over landskoder som er hardkodet i applikasjonen. Noen av appene er designet for å avbryte operasjonen hvis de ser at enheten tilhører en amerikansk eller en kanadisk statsborger. Det er vanskelig å si om den nøye valg av mål har noe å gjøre med det, men ifølge forskerne antyder deler av Jokers kode, så vel som noen få egenskaper ved kontrollpanelet, at forfatterne er kinesiske.
Når den ondsinnede appen bestemmer at målet er egnet til infeksjon, fortsetter den med å laste ned nyttetrinn i andre trinn fra Command & Control-serveren (C&C), men den prøver å gjøre det så lydløst som mulig. Kommunikasjonen med C&C er begrenset til å sende ut en kort rapport om en vellykket infeksjon og motta nyttelasten i en kryptert form. Den skadelige programvaren ble designet for å utføre så få Java-kommandoer som mulig, noe som gjør det vanskelig å oppdage og skjule skadelige oppgaver, noen av Joker-infiserte appene bruker sprutskjermbilder.
Et program for premiumabonnement som kan gjøre mye mer
Når nyttelasten i andre trinn er utført, kontakter Joker-malware regelmessig C & C og venter på instruksjoner. I kampanjen observert CSIS ble de ondsinnede applikasjonene brukt til å abonnere ofre på betalte tjenester.
C&C sender URL, og Joker bruker JavaScript for å åpne den og følge abonnementstrinnene. Mange av premiumtjenestene Joker bruker krever en tilleggskode som sendes til brukeren som en SMS. Den skadelige programvaren kan lese tekstmeldingen, hente koden og fullføre abonnementet.
CSIS ’eksperter ga ikke for mange detaljer om hva ofrene endte opp med, men de sa imidlertid at noen brukere i Danmark ble registrert for en tjeneste som koster € 6,71 (omtrent $ 7,40) per uke.
Det er tydelig at i denne kampanjen ble Joker brukt til å tjene penger. Det er imidlertid et par ting som tyder på at det også kan brukes til andre formål.
Det at den kan lese tekstmeldinger indikerer ganske tydelig at det ble lagt mye tid og krefter i det, noe som ikke er veldig typisk for malware som ikke brukes til mer enn å abonnere på betalte tjenester. Når CSIS 'forskere så nærmere på, fant de ut at Joker ikke bare kan lese en SMS, den kan også sende innholdet til C&C. I tillegg til dette så ekspertene Joker skrape og sende ofrenes kontaktlister til skadelig operatører. Med andre ord, med noen få mindre endringer, kan Joker gjøres om til et kraftig nettverksverktøy.
Malware vises på Google Play igjen
CSIS 'eksperter berømmet Google for å fjerne de skadelige appene fra Play-butikken raskt og effektivt. Det må imidlertid sies at de ikke burde ha dukket opp i utgangspunktet.
Problemet med malware i Android's offisielle app-butikk er ikke nytt, og Google har prøvd å finne måter å løse det på en stund nå. Til tross for antatt nye, forbedrede filtre og beskyttelsesmekanismer, er det dessverre ingen mangel på ondsinnede applikasjoner som regelmessig glir gjennom nettet. Dette betyr at du fortsatt må være så nøye som alltid, spesielt med tillatelsene nye apper ber om.