New Wave of Joker Android Malware in the Wild

Efter en tid av lugn återfinns skadlig programvara för Joker-fakturering tillbaka i Google Play-butiken. Forskare som arbetar med det mobila säkerhetsföretaget Zimperium publicerade en rapport om den nya uppdateringen av appar som bär Joker-skadlig programvara.

Joker-skadlig programvara klassificeras vanligtvis som skadlig programvara för fleeceware eller fakturering. Det sparas inuti legitima applikationer av alla slag, allt från appar för fotomanipulation till mobilspel och meddelandeprogram. När appen har installerats börjar Joker tyst utföra klick utan någon typ av användartillstånd eller samtycke och prenumererar användaren på alla typer av betalda premiumtjänster som drivs och drivs av hotaktörerna bakom skadlig programvara.

I de flesta fall har offret ingen aning om vad som händer, eftersom allt utförs tyst, och insikten om att något är mycket fel följer med telefonräkningen för respektive månad, men vid den tiden är det lite sent. Joker kan också fånga upp och stjäla SMS-texter och kan skrapa kontakter och information om den infekterade enheten.

Som med de flesta mobila skadliga program är det mycket mer sannolikt att du stöter på ett apppaket som bär Joker om du fiskar efter .apk-applikationspaket utanför den officiella Google Play-butiken, men det har varit tillräckligt många appar i den officiella butiken som bär Joker för. Zimperium uppgav att under de senaste fyra åren har totalt 1800 applikationer med Joker tagits bort från Google Play-butiken.

Trots de många vågorna med borttagningar fortsätter de dåliga skådespelarna bakom Joker att justera och förbättra skadlig programvara och även om skadliga program som skadats av skadlig programvara aldrig lyckas överleva säkerhetssvepningar för länge, visar det enkla faktum att något som Joker fortsätter att komma tillbaka bara hur beständigt och envisa hackarna bakom det är.

Ett av de senaste knep som Joker använder för att undvika upptäckt, både lokalt på enheter och i Play Store, släpper nyttolasten i en .dex-fil som fördunklas med antingen kryptering eller lagras i en bildfil med steganografitekniker. Körsbäret ovanpå är att bildfilen också kan vara värd på en fjärrlig, legitim molntjänst eller till och med på kommando- och styrservrarna för skadlig kod.

Joker kan också kontrollera om miljön den har landat på är en emulator som används för sandboxning och forskning.