24 Google Play-appar hittades för att distribuera Joker Malware
Enligt Google Play laddades de skadliga apparna som var utformade för att infektera intetanande Android-användare med den nya Joker-skadlig kod totalt 472 000 gånger. Antalet verkar relativt högt, men vi måste påpeka att det kanske inte är helt korrekt. Astroturfing-tekniker är ganska populära bland skadliga operatörer, vilket innebär att nedladdningsnumret inte alltid kan lita på.
Icke desto mindre, enligt forskare från CSIS Security Group, levererades Joker-skadeprogrammet genom totalt 24 applikationer och riktades till användare i 37 länder, inklusive de flesta EU-länder samt några av de största marknaderna i Fjärran Östern och Sydamerika. Så vi talar inte om en liten kampanj. Låt oss se vad brottslingarna ville uppnå med det.
Table of Contents
Smarta dumptekniker och specifika inriktning skiljer Joker
CSIS Security Groups experter sa inte vilken typ av applikationer som bär Joker-skadlig programvara, och inte heller Google, som oberoende upptäckte apparna och tog bort dem från Play-butiken. Detta betyder att det inte är så lätt att bestämma den exakta demografin för den riktade användarbasen. Det är säkert att säga att detta inte är den typiska spray-and-be-kampanjen som syftar till att träffa så många människor som möjligt.
Även om vissa av applikationerna fortsätter med infektionen oavsett mål, är de flesta av Joker-apparna programmerade för att kontrollera användarens telefonnummer och se om det finns på en lista med landskoder som är hårdkodade i applikationen. Vissa av apparna är utformade för att avbryta åtgärden om de ser att enheten tillhör en amerikansk eller kanadensisk medborgare. Det är svårt att säga om den noggranna plockningen av mål har något att göra med det, men enligt forskarna tyder bitar på Jokers kod, såväl som några egenskaper hos dess kontrollpanel, att författarna är kinesiska.
När den skadliga appen bestämmer sig för att målet är lämpligt för infektion fortsätter den med att ladda ner den andra fasens nyttolast från Command & Control-servern (C&C), men den försöker göra det så tyst som möjligt. Kommunikationen med C&C är begränsad till att skicka ut en kort rapport om en framgångsrik infektion och ta emot nyttolasten i en krypterad form. Det skadliga programmet var utformat för att köra så få Java-kommandon som möjligt vilket gör det svårt att upptäcka och dölja deras skadliga uppgifter, några av de Joker-infekterade apparna använder stänkskärmar.
Ett premiumabonnemangs malware som kan göra mycket mer
När nyttolasten i andra steget har genomförts, kontaktar Joker-programvaran periodiskt C & C och väntar på instruktioner. I den aktuella CSIS-kampanjen användes de skadliga applikationerna för att prenumerera offren till betalda tjänster.
C&C skickar URL: en, och Joker använder JavaScript för att öppna den och följa prenumerationsstegen. Många av de premiumtjänster som Joker använder kräver en ytterligare kod som skickas till användaren som ett SMS. Malware kan läsa textmeddelandet, hämta koden och slutföra prenumerationen.
CSIS: s experter lämnade inte för många detaljer om vad offren slutade med, men de sa att vissa användare i Danmark registrerade sig för en tjänst som kostar 6,71 € (cirka 7,40 $) per vecka.
Det är tydligt att i denna kampanj användes Joker för att tjäna pengar. Det finns dock ett par saker som tyder på att det också kan användas för andra ändamål.
Det faktum att det kan läsa textmeddelanden indikerar ganska tydligt att mycket tid och ansträngning placerades i det, vilket inte är mycket typiskt för skadlig programvara som används för att inte bara prenumerera på betalda tjänster. Vad mer är, när CSIS: s forskare tittade närmare på, upptäckte de att Joker inte bara kan läsa ett SMS, det kan också skicka sitt innehåll till C&C. Utöver detta observerade experterna Joker skrapade och skickade offrens kontaktlistor till skadeprogrammets operatörer. Med andra ord, med några mindre ändringar, kan Joker förvandlas till ett kraftfullt cyberespionage-verktyg.
Malware visas på Google Play igen
CSIS: s experter berömde Google för att ta bort skadliga appar från Play-butiken snabbt och effektivt. Det måste sägas att de inte borde ha dykt upp i första hand.
Problemet med skadlig kod i Android: s officiella app-butik är inte nytt, och Google har försökt hitta sätt att lösa det ett tag nu. Trots antagligen nya, förbättrade filter och skyddsmekanismer finns det tyvärr ingen brist på skadliga applikationer som regelbundet glider genom nätet. Detta innebär att du fortfarande måste vara så försiktig som någonsin, särskilt med de behörigheter som nya appar begär.
