Nowa fala złośliwego oprogramowania Jokera na Androida na wolności

Po okresie ciszy złośliwe oprogramowanie Joker do oszustw rozliczeniowych powraca do sklepu Google Play. Badacze współpracujący z firmą Zimperium zajmującą się bezpieczeństwem mobilnym opublikowali raport na temat nowego wzrostu liczby aplikacji zawierających złośliwe oprogramowanie Joker.

Mobilne złośliwe oprogramowanie Joker jest zwykle klasyfikowane jako oprogramowanie typu Fleeceware lub złośliwe oprogramowanie do oszustw rozliczeniowych. Umieszcza się w legalnych aplikacjach wszelkiego rodzaju, od aplikacji do obróbki zdjęć po gry mobilne i aplikacje do przesyłania wiadomości. Po zainstalowaniu aplikacji Joker zaczyna cicho wykonywać kliknięcia, bez jakiejkolwiek zgody lub zgody użytkownika, i subskrybuje użytkownika do wszelkiego rodzaju płatnych usług premium, które są uruchamiane i obsługiwane przez cyberprzestępców stojących za złośliwym oprogramowaniem.

W większości przypadków ofiara nie ma pojęcia, co się dzieje, ponieważ wszystko odbywa się po cichu, a świadomość, że coś jest bardzo nie tak, przychodzi wraz z rachunkiem telefonicznym za dany miesiąc, ale do tego czasu jest już trochę za późno. Joker potrafi także przechwytywać i kraść SMS-y, a także przeszukiwać kontakty i informacje o zainfekowanym urządzeniu.

Podobnie jak w przypadku większości mobilnego złośliwego oprogramowania, jest znacznie bardziej prawdopodobne, że natkniesz się na pakiet aplikacji, który zawiera Jokera, jeśli szukasz pakietów aplikacji .apk poza oficjalnym sklepem Google Play, ale w oficjalnym sklepie z Jokerem było wystarczająco dużo przypadków aplikacji także. Zimperium podało, że w ciągu ostatnich czterech lat ze sklepu Google Play usunięto łącznie 1800 aplikacji zawierających Jokera.

Pomimo wielu fal usuwania, źli aktorzy stojący za Jokerem wciąż poprawiają i ulepszają złośliwe oprogramowanie i chociaż aplikacje zainfekowane złośliwym oprogramowaniem nigdy nie przetrwają zbyt długo kontroli bezpieczeństwa, prosty fakt, że coś takiego jak Joker wciąż powraca, pokazuje, jak trwałe i uparci hakerzy, którzy za nim stoją.

Jedną z najnowszych sztuczek, które Joker używa do unikania wykrycia, zarówno lokalnie na urządzeniach, jak i w Sklepie Play, jest upuszczanie ładunku do pliku .dex, który jest zaciemniany za pomocą szyfrowania lub przechowywany w pliku obrazu przy użyciu technik steganografii. Wisienką na torcie jest to, że plik obrazu może być również przechowywany w zdalnej, legalnej usłudze w chmurze, a nawet na serwerach dowodzenia i kontroli szkodliwego oprogramowania.

Joker może również sprawdzić, czy środowisko, w którym wylądował, jest emulatorem używanym do sandboxingu i badań.