24 Google Play-apps gevonden om de Joker-malware te verspreiden

Joker Malware on Google Play

Volgens Google Play zijn de kwaadaardige apps die zijn ontworpen om nietsvermoedende Android-gebruikers te infecteren met de nieuwe Joker-malware, in totaal 472.000 keer gedownload. Het aantal lijkt relatief hoog, maar we moeten erop wijzen dat het misschien niet helemaal nauwkeurig is. Astroturftechnieken zijn behoorlijk populair bij malware-operators, wat betekent dat het downloadnummer niet altijd kan worden vertrouwd.

Desalniettemin, volgens onderzoekers van CSIS Security Group, werd de Joker-malware geleverd via in totaal 24 applicaties en was gericht op gebruikers in 37 landen, waaronder de meeste EU-lidstaten en enkele van de grootste markten in het Verre Oosten en Zuid-Amerika. We hebben het dus niet over een kleine campagne. Laten we kijken wat de criminelen ermee wilden bereiken.

Slimme verduisteringstechnieken en specifieke targeting onderscheidt Joker

De experts van CSIS Security Group zeiden niet wat voor soort applicaties de Joker-malware droeg, en Google ook niet, die de apps onafhankelijk van elkaar detecteerde en uit de Play Store verwijderde. Dit betekent dat het bepalen van de exacte demografie van de beoogde gebruikersbasis niet erg eenvoudig is. Het is echter veilig om te zeggen dat dit niet de typische spray-and-pray-campagne is die erop gericht is om zoveel mogelijk mensen te raken.

Hoewel sommige van de applicaties doorgaan met de infectie, ongeacht het doel, zijn de meeste Joker-apps geprogrammeerd om het telefoonnummer van de gebruiker te controleren en te zien of het op een lijst met landcodes staat die hard zijn gecodeerd in de applicatie. Sommige apps zijn ontworpen om de bewerking af te breken als ze zien dat het apparaat van een Amerikaanse of Canadese burger is. Het is moeilijk te zeggen of het zorgvuldig kiezen van doelen er iets mee te maken heeft, maar volgens de onderzoekers suggereren stukjes Joker's code, evenals enkele kenmerken van het controlepaneel, dat de auteurs Chinees zijn.

Zodra de kwaadwillende app besluit dat het doel geschikt is voor infectie, gaat het door met het downloaden van de tweede fase payload van de Command & Control-server (C&C), maar probeert het zo stil mogelijk te doen. De communicatie met de C&C is beperkt tot het verzenden van een kort rapport van een succesvolle infectie en het ontvangen van de lading in gecodeerde vorm. De malware is ontworpen om zo min mogelijk Java-opdrachten uit te voeren, waardoor het moeilijk is om kwaadaardige taken te detecteren en te verbergen. Sommige van de door Joker geïnfecteerde apps gebruiken splash-schermen.

Een premium abonnement-malware die nog veel meer kan

Nadat de payload in de tweede fase is uitgevoerd, neemt de Joker-malware periodiek contact op met de C&C en wacht op instructies. In de waargenomen campagne CSIS werden de kwaadaardige toepassingen gebruikt om slachtoffers in te schrijven op betaalde diensten.

De C&C verzendt de URL en Joker gebruikt JavaScript om deze te openen en de abonnementsstappen te volgen. Veel van de premium services die Joker gebruikt, vereisen een extra code die als sms naar de gebruiker wordt verzonden. De malware kan het sms-bericht lezen, de code ophalen en het abonnement voltooien.

De experts van CSIS hebben niet al te veel informatie gegeven over de slachtoffers, maar ze zeiden wel dat sommige gebruikers in Denemarken waren aangemeld voor een service die €6,71 (ongeveer $7,40) per week kost.

Het is duidelijk dat Joker in deze campagne werd gebruikt om geld te verdienen. Er zijn een aantal dingen die erop wijzen dat het ook voor andere doeleinden kan worden gebruikt.

Het feit dat het sms-berichten kan lezen, geeft duidelijk aan dat er veel tijd en moeite in is gestoken, wat niet erg typisch is voor malware die voor niets meer wordt gebruikt dan het abonneren op mensen voor betaalde services. Bovendien ontdekten de onderzoekers van CSIS dat Joker niet alleen een SMS kan lezen, maar ook de inhoud ervan naar het C&C kan sturen. Daarnaast zagen de experts dat Joker schraapte en de contactlijsten van slachtoffers naar de exploitanten van de malware stuurde. Met andere woorden, met een paar kleine aanpassingen kan Joker worden omgezet in een krachtig hulpmiddel voor cyberespionage.

Malware verschijnt opnieuw op Google Play

CSIS-experts roemden Google voor het snel en efficiënt verwijderen van de kwaadaardige apps uit de Play Store. Het moet echter gezegd worden dat ze niet in de eerste plaats hadden moeten verschijnen.

Het probleem van malware in de officiële app store van Android is niet nieuw en Google probeert nu al een tijdje oplossingen te vinden. Helaas, ondanks zogenaamd nieuwe, verbeterde filters en beveiligingsmechanismen, is er geen tekort aan kwaadaardige toepassingen die regelmatig over het net glippen. Dit betekent dat u nog steeds zo voorzichtig moet zijn als altijd, vooral met de machtigingen die nieuwe apps aanvragen.

Tegen Duran
November 28, 2019
News
Nederlands
November 28, 2019
News

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.