Znaleziono 24 aplikacje Google Play do rozpowszechniania złośliwego oprogramowania Joker
Według Google Play złośliwe aplikacje, które zostały zaprojektowane w celu zainfekowania niczego niepodejrzewających użytkowników Androida nowym złośliwym oprogramowaniem Jokera, zostały pobrane 472 000 razy. Liczba ta wydaje się stosunkowo wysoka, ale musimy zaznaczyć, że może nie być ona do końca dokładna. Techniki astroturfingu są dość popularne wśród operatorów złośliwego oprogramowania, co oznacza, że nie zawsze można ufać numerowi pobierania.
Niemniej jednak, według naukowców z CSIS Security Group, złośliwe oprogramowanie Joker zostało dostarczone przez 24 aplikacje i było skierowane do użytkowników w 37 krajach, w tym do większości państw członkowskich UE, a także do niektórych z największych rynków na Dalekim Wschodzie i Ameryka Południowa. Nie mówimy więc o małej kampanii. Zobaczmy, co przestępcy chcieli z tym osiągnąć.
Table of Contents
Sprytne techniki zaciemniania i konkretne targetowanie wyróżniają Jokera
Eksperci CSIS Security Group nie powiedzieli, jakie aplikacje niosą szkodliwe oprogramowanie Joker, podobnie jak Google, który niezależnie wykrył aplikacje i usunął je ze Sklepu Play. Oznacza to, że określenie dokładnej demografii docelowej bazy użytkowników nie jest bardzo łatwe. Można jednak śmiało powiedzieć, że nie jest to typowa kampania „módlcie się i módlcie”, której celem jest uderzenie jak największej liczby osób.
Chociaż niektóre aplikacje kontynuują infekcję bez względu na cel, większość aplikacji Jokera jest zaprogramowana do sprawdzania numeru telefonu użytkownika i sprawdzania, czy znajduje się on na liście kodów krajów zakodowanych na stałe w aplikacji. Niektóre aplikacje mają na celu przerwanie operacji, jeśli zauważą, że urządzenie należy do obywatela USA lub Kanady. Trudno powiedzieć, czy staranne wybieranie celów ma z tym coś wspólnego, ale według naukowców fragmenty kodu Jokera, a także kilka cech panelu sterowania sugerują, że autorzy są Chińczykami.
Gdy złośliwa aplikacja zdecyduje, że cel nadaje się do infekcji, przystępuje do pobierania ładunku drugiego etapu z serwera Command & Control (C&C), ale próbuje to zrobić tak cicho, jak to możliwe. Komunikacja z centrum kontroli ogranicza się do wysłania krótkiego raportu o udanej infekcji i odebrania ładunku w postaci zaszyfrowanej. Szkodnik został zaprojektowany do wykonywania jak najmniejszej liczby poleceń Java, co utrudnia wykrycie i ukrycie ich złośliwych zadań, niektóre z aplikacji zainfekowanych Jokerem używają ekranów powitalnych.
Złośliwe oprogramowanie subskrypcyjne, które może zrobić znacznie więcej
Po uruchomieniu ładunku drugiego etapu złośliwe oprogramowanie Jokera okresowo kontaktuje się z C&C i czeka na instrukcje. W zaobserwowanej przez CSIS kampanii złośliwe aplikacje były wykorzystywane do subskrybowania ofiar płatnych usług.
C&C wysyła adres URL, a Joker używa JavaScript, aby go otworzyć i wykonać kroki subskrypcji. Wiele usług premium, z których korzysta Joker, wymaga dodatkowego kodu, który jest wysyłany do użytkownika jako SMS. Złośliwe oprogramowanie może odczytać wiadomość tekstową, pobrać kod i zakończyć subskrypcję.
Eksperci CSIS nie podali zbyt wielu szczegółów na temat tego, z czym skończyły ofiary, ale powiedzieli, że niektórzy użytkownicy w Danii zapisali się na usługę, która kosztuje 6,71 € (około 7,40 $) tygodniowo.
Oczywiste jest, że w tej konkretnej kampanii Joker był używany do zarabiania pieniędzy. Jest jednak kilka rzeczy sugerujących, że można go również wykorzystać do innych celów.
Fakt, że potrafi czytać wiadomości tekstowe, wyraźnie pokazuje, że włożono w to dużo czasu i wysiłku, co nie jest typowe dla złośliwego oprogramowania wykorzystywanego wyłącznie do subskrybowania płatnych usług. Co więcej, gdy badacze CSIS przyjrzeli się bliżej, odkryli, że Joker może nie tylko czytać SMS-y, ale także wysyłać ich zawartość do C&C. Ponadto eksperci zaobserwowali skrobanie Jokera i wysyłanie list kontaktowych ofiar do operatorów złośliwego oprogramowania. Innymi słowy, z kilkoma drobnymi modyfikacjami, Joker może zostać przekształcony w potężne narzędzie cyberszpiegostwa.
Złośliwe oprogramowanie pojawia się ponownie w Google Play
Eksperci CSIS chwalili Google za szybkie i skuteczne usuwanie złośliwych aplikacji ze sklepu Play. Trzeba jednak powiedzieć, że nie powinni byli się pojawiać.
Problem złośliwego oprogramowania w oficjalnym sklepie z aplikacjami na Androida nie jest nowy, a Google już od jakiegoś czasu próbuje znaleźć sposoby jego rozwiązania. Niestety, pomimo rzekomo nowych, ulepszonych filtrów i mechanizmów ochrony, nie brakuje złośliwych aplikacji, które regularnie przedostają się przez sieć. Oznacza to, że nadal musisz być tak ostrożny, jak zawsze, zwłaszcza w przypadku uprawnień wymaganych przez nowe aplikacje.
