Новая волна вредоносных программ для Android Joker в дикой природе

После периода затишья вредоносная программа для мошенничества с биллингом Joker снова появилась в магазине Google Play. Исследователи, работающие с компанией по обеспечению безопасности мобильных устройств Zimperium, опубликовали отчет о новом росте числа приложений, содержащих вредоносную программу Joker.

Мобильное вредоносное ПО Joker обычно классифицируется как вредоносное ПО или вредоносное ПО для мошенничества с выставлением счетов. Он скрывается внутри законных приложений всех видов, от приложений для обработки фотографий до мобильных игр и приложений для обмена сообщениями. После установки приложения Joker начинает незаметно выполнять клики без какого-либо разрешения или согласия пользователя и подписывает пользователя на все виды платных премиальных услуг, которые запускаются и управляются злоумышленниками, стоящими за вредоносным ПО.

В большинстве случаев жертва понятия не имеет, что происходит, так как все выполняется тихо, и осознание того, что что-то очень не так, приходит вместе с телефонным счетом за соответствующий месяц, но к тому времени уже немного поздно. Joker также может перехватывать и красть текстовые сообщения SMS, а также очищать контакты и информацию о зараженном устройстве.

Как и в случае с большинством мобильных вредоносных программ, вы с гораздо большей вероятностью столкнетесь с пакетом приложения, содержащим Joker, если вы будете искать пакеты приложений .apk за пределами официального магазина Google Play, но в официальном магазине было достаточно экземпляров приложений с Joker тоже. Zimperium заявил, что за последние четыре года из магазина Google Play было удалено в общей сложности 1800 приложений, содержащих Joker.

Несмотря на многочисленные волны удалений, злоумышленники, стоящие за Джокером, продолжают настраивать и улучшать вредоносное ПО, и хотя приложениям, зараженным вредоносными программами, никогда не удается выжить слишком долго, простой факт, что что-то вроде Джокера продолжает возвращаться, показывает, насколько настойчиво и хакеры, стоящие за этим, упрямы.

Один из последних приемов, которые Джокер использует для уклонения от обнаружения, как локально на устройствах, так и в Play Store, - это размещение полезной нагрузки внутри файла .dex, который затемняется с помощью шифрования или сохраняется внутри файла изображения с использованием методов стеганографии. Изюминкой является то, что файл изображения также может быть размещен в удаленной законной облачной службе или даже на управляющих серверах вредоносного ПО.

Joker также может проверить, является ли среда, в которой он приземлился, эмулятором, используемым для песочницы и исследований.