Найдено 24 приложения Google Play для распространения вредоносного ПО Joker
Согласно Google Play, вредоносные приложения, предназначенные для заражения ничего не подозревающих пользователей Android новым вредоносным ПО Joker, были загружены в общей сложности 472 000 раз. Число кажется относительно высоким, но мы должны указать, что оно может быть не совсем точным. Техники астротурфинга довольно популярны среди операторов вредоносных программ, а это означает, что номер загрузки не всегда можно доверять.
Тем не менее, согласно исследователям из CSIS Security Group, вредоносное ПО Joker было доставлено в общей сложности через 24 приложения и предназначалось для пользователей в 37 странах, включая большинство стран-членов ЕС, а также некоторые из крупнейших рынков на Дальнем Востоке и Южная Америка. Итак, мы не говорим о маленькой кампании. Давайте посмотрим, чего преступники хотели добиться с этим.
Table of Contents
Умные методы запутывания и особая нацеленность отличают Джокера
Эксперты CSIS Security Group не сказали, какие приложения содержат вредоносное ПО Joker, равно как и Google, который самостоятельно обнаружил приложения и удалил их из магазина Play. Это означает, что определить точную демографию целевой базы пользователей не очень просто. Однако можно с уверенностью сказать, что это не обычная кампания «брызги и молись», направленная на то, чтобы поразить как можно больше людей.
Хотя некоторые приложения продолжают заражение независимо от цели, большинство приложений Joker запрограммированы для проверки номера телефона пользователя и проверки наличия в списке кодов стран, жестко закодированных внутри приложения. Некоторые приложения предназначены для прерывания операции, если они видят, что устройство принадлежит гражданину США или Канады. Трудно сказать, имеет ли это отношение к тщательному выбору целей, но, по мнению исследователей, фрагменты кода Джокера, а также некоторые характеристики его панели управления позволяют предположить, что авторы - китайцы.
Как только вредоносное приложение решает, что цель пригодна для заражения, оно загружает полезную нагрузку второго уровня с сервера управления и контроля (C&C), но пытается сделать это как можно тише. Связь с C&C ограничивается отправкой краткого отчета об успешном заражении и получением полезной нагрузки в зашифрованном виде. Вредоносная программа была разработана для выполнения как можно меньшего числа команд Java, что затрудняет ее обнаружение, а также для скрытия своих вредоносных задач. В некоторых приложениях, зараженных Joker, используются заставки.
Премиум-подписка вредоносного ПО, которая может сделать намного больше
После выполнения полезной нагрузки второго уровня вредоносная программа Joker периодически связывается с C&C и ожидает инструкций. В рамках кампании CSIS наблюдалось, что вредоносные приложения использовались для подписки жертв на платные сервисы.
C&C отправляет URL, а Joker использует JavaScript, чтобы открыть его и выполнить шаги подписки. Многие из премиальных сервисов, которые использует Joker, требуют дополнительного кода, который отправляется пользователю в виде SMS. Вредоносная программа может прочитать текстовое сообщение, получить код и завершить подписку.
Эксперты CSIS не предоставили слишком много подробностей о том, чем жертвы закончились, но они сказали, что некоторые пользователи в Дании подписались на услугу, которая стоит 6,71 евро (около 7,40 долларов США) в неделю.
Понятно, что в этой конкретной кампании Джокер использовался для зарабатывания денег. Однако есть несколько вещей, которые позволяют предположить, что он может быть использован и для других целей.
Тот факт, что он может читать текстовые сообщения, совершенно ясно указывает на то, что в него было затрачено много времени и усилий, что не очень характерно для вредоносных программ, которые используются не более чем для подписки людей на платные услуги. Более того, когда исследователи CSIS присмотрелись поближе, они обнаружили, что Joker может не только читать SMS, но и отправлять его содержимое в C&C. Кроме того, эксперты наблюдали, как Джокер просматривал списки контактов жертв и отправлял их операторам вредоносного ПО. Другими словами, с небольшими изменениями Joker можно превратить в мощный инструмент кибершпионажа.
Вредоносное ПО снова появляется в Google Play
Эксперты CSIS похвалили Google за быстрое и эффективное удаление вредоносных приложений из магазина Play. Надо сказать, однако, что они не должны были появиться в первую очередь.
Проблема вредоносного ПО в официальном магазине приложений Android не нова, и Google уже некоторое время пытается найти способы ее решения. К сожалению, несмотря на якобы новые, улучшенные фильтры и механизмы защиты, нет недостатка в вредоносных приложениях, которые регулярно проскакивают через сеть. Это означает, что вам по-прежнему нужно быть как можно более осторожным, особенно в отношении разрешений, которые запрашивают новые приложения.
