24 Google Play Apps encontrados para distribuir o malware Joker
Segundo o Google Play, os aplicativos maliciosos projetados para infectar usuários inocentes do Android com o novo malware Joker foram baixados um total de 472.000 vezes. O número parece relativamente alto, mas devemos ressaltar que pode não ser totalmente exato. As técnicas de astroturfing são bastante populares entre os operadores de malware, o que significa que nem sempre é possível confiar no número do download.
No entanto, de acordo com pesquisadores do CSIS Security Group, o malware Joker foi entregue através de um total de 24 aplicativos e foi direcionado a usuários em 37 países, incluindo a maioria dos estados membros da UE, bem como alguns dos maiores mercados do Extremo Oriente e América do Sul. Portanto, não estamos falando de uma pequena campanha. Vamos ver o que os criminosos queriam alcançar com isso.
Índice
Técnicas inteligentes de ofuscação e direcionamento específico diferenciam o Coringa
Os especialistas do CSIS Security Group não disseram que tipo de aplicativo carregava o malware Joker, nem o Google, que detectou os aplicativos de forma independente e os removeu da Play Store. Isso significa que determinar a demografia exata da base de usuários alvo não é muito fácil. É seguro dizer, no entanto, que essa não é a típica campanha de pulverização e oração com o objetivo de atingir o maior número possível de pessoas.
Embora alguns aplicativos continuem com a infecção, independentemente do destino, a maioria dos aplicativos Joker é programada para verificar o número de telefone do usuário e verificar se está em uma lista de códigos de países codificados no aplicativo. Alguns dos aplicativos foram projetados para abortar a operação se eles virem que o dispositivo pertence a um cidadão americano ou canadense. É difícil dizer se a escolha cuidadosa de alvos tem alguma coisa a ver com isso, mas, de acordo com os pesquisadores, partes do código do Coringa, bem como algumas características de seu painel de controle, sugerem que os autores são chineses.
Depois que o aplicativo mal-intencionado decide que o destino está apto para a infecção, ele prossegue com o download da carga útil do segundo estágio do servidor Command & Control (C&C), mas tenta fazê-lo o mais silenciosamente possível. A comunicação com a C&C limita-se a enviar um breve relatório de uma infecção bem-sucedida e a receber a carga útil de forma criptografada. O malware foi projetado para executar o menor número possível de comandos Java, o que dificulta a detecção e a ocultação de tarefas maliciosas. Alguns dos aplicativos infestados por Joker usam telas de apresentação.
Um malware de assinatura premium que pode fazer muito mais
Depois que a carga útil do segundo estágio é executada, o malware Joker entra em contato periodicamente com a C&C e aguarda instruções. Na campanha observada pelo CSIS, os aplicativos maliciosos foram usados para inscrever vítimas em serviços pagos.
A C&C envia a URL e o Joker usa JavaScript para abri-la e seguir as etapas de inscrição. Muitos dos serviços premium que o Joker usa requerem um código adicional que é enviado ao usuário como um SMS. O malware pode ler a mensagem de texto, recuperar o código e concluir a assinatura.
Os especialistas do CSIS não forneceram muitos detalhes sobre como as vítimas acabaram, mas disseram que alguns usuários na Dinamarca se inscreveram em um serviço que custa 6,71 € (cerca de US $ 7,40) por semana.
É claro que nesta campanha em particular, o Joker foi usado para ganhar dinheiro. Existem algumas coisas que sugerem que ele também pode ser empregado para outros fins.
O fato de poder ler mensagens de texto indica claramente que muito tempo e esforço foram investidos nele, o que não é muito típico para malware que é usado para nada mais do que a assinatura de pessoas para serviços pagos. Além disso, quando os pesquisadores do CSIS analisaram mais de perto, descobriram que o Joker não pode apenas ler um SMS, mas também pode enviar seu conteúdo para a C&C. Além disso, os especialistas observaram o Joker raspando e enviando as listas de contatos das vítimas aos operadores do malware. Em outras palavras, com algumas pequenas modificações, o Joker pode ser transformado em uma poderosa ferramenta de ciberespionagem.
O malware aparece no Google Play novamente
Os especialistas do CSIS elogiaram o Google por remover os aplicativos maliciosos da Play Store de maneira rápida e eficiente. Deve-se dizer, no entanto, que eles não deveriam ter aparecido em primeiro lugar.
O problema do malware na loja de aplicativos oficial do Android não é novo , e o Google tenta encontrar maneiras de resolvê-lo há um tempo. Infelizmente, apesar de supostamente novos filtros aprimorados e mecanismos de proteção, não faltam aplicativos mal-intencionados que passam regularmente pela rede. Isso significa que você ainda precisa ter o cuidado de sempre, especialmente com as permissões solicitadas pelos novos aplicativos.
