Бесплатно Экспресс-аудит сайта:

14.07.2020

ПО Joker в очередной раз обошло механизмы Google Play Store

Печально известное вредоносное ПО Joker скрывается в файле манифеста Android –– в этом файле содержится вся необходимая информация для работы приложения. Каждое приложение содержит этот файл. Благодаря этому Joker незаметно подписывает жертв на платные сервисы

Команда исследователей Check Point Research рассказало о новом способе, который использует Joker обхода механизмов защиты Google Play Store . Впервые его обнаружили в 2017 году: это шпионское ПО может получить доступ к уведомлениям, читать и отправлять SMS-сообщения. Joker использует эти возможности для незаметной подписки жертв на платные услуги. Google характеризует это вредоносное ПО как постоянную угрозу, с которой он сталкивался в течение последних нескольких лет. По словам Google, Joker попробовал почти каждую технику маскировки, чтобы остаться незамеченным.

Недавно исследователь Check Point Авиран Хазум раскрыл новый метод использования Joker. На этот раз вредоносная программа Joker скрывает вредоносный код внутри файла манифест Android в легитимных приложениях. Файл манифеста содержится в корневой папке каждого приложения, он предоставляет важную информацию о приложении, которая требуется системе Android: имя, значок и разрешения для системы Android. Только получив эту информацию, система может выполнить какой-либо код приложения. Таким образом, вредоносному ПО не требуется доступ к C&C-серверу, который контролируется киберпреступниками. Обычно этот сервер используется для отправки команд зараженным системам, которые уже скомпрометированы вредоносным ПО для загрузки полезной нагрузки –– той части вредоносного ПО, которая выполняет основную работу.

Новый метод применения Joker можно разбить на три этапа.

  1. Создание полезной нагрузки. Joker заранее создает полезную нагрузку, вставляя ее в файл манифеста Android.

  2. Отсрочка загрузки полезной нагрузки. Во время оценивания Joker даже не пытается загрузить вредоносную полезную нагрузку –– это значительно облегчает обход средств защиты Google Play Store.

  3. Распространение вредоносного ПО. После того, как службы безопасности Google Play Store одобрят приложение, начинает работать вредоносная кампания –– полезная нагрузка определяется и загружается.

Исследователи Check Point ответственно раскрыли свои выводы в Google. Все заявленные приложения (11 приложений) были удалены из Play Store к 30 апреля 2020 года.

«Joker все время меняется, приспосабливаясь к новым условиям. Мы обнаружили, что он скрывается в файле с необходимой информацией, файле, который содержится в каждом Android-приложении, –– рассказывает Авиран Хазум, специалист по мобильным исследованиям Check Point Software Technologies. –– Наши последние исследования показывают, что защиты Google Play Store недостаточно. Мы еженедельно выявляли многочисленные случаи загрузки Joker в Google Play –– каждая из которых была произведена ничего не подозревающими пользователями. Вредоносное ПО Joker сложно обнаружить, несмотря на инвестиции Google в средства защиты Play Store. Хотя сейчас Google удалил вредоносные приложения из Play Store, можно предположить, что Joker снова вернется. Каждому пользователю желательно знать об этой программе и понимать, как можно от нее пострадать».

Способы защиты

Если вы подозреваете, что на вашем устройстве может быть одно из этих зараженных приложений:

  • Удалите зараженное приложение с устройства.

  • Проверьте все счета: свой баланс сотового оператора, кредитные карты. Нужно узнать, подписаны ли вы на какие-либо платные подписки, и, если вам это не нужно, отмените подписку.
  • Установите решение безопасности, чтобы предотвратить дальнейшие заражения.