Android-вредонос Joker всё ещё обходит защитные меры Google Play Store

Android-вредонос Joker всё ещё обходит защитные меры Google Play Store

Android-вредонос Joker всё ещё обходит защитные меры Google Play Store

Эксперты из Google борются с Android-вредоносом Joker (также известен под именем Bread) с сентября 2019 года. Судя по всему, зловред до сих пор не сдался, поскольку он продолжает обходить защитные меры официального магазина Google Play Store.

В сентябре прошлого года команда безопасности Google удалила из Play Store 24 приложения, так как в них был обнаружен шпионский модуль «Joker».

Данный вредоносный код маскируется под системное приложение, позволяя атакующему выполнять ряд несанкционированных операций на устройстве пользователя. Например, с помощью «Джокера» злоумышленник может отключить сервис Google Play Protect, установить дополнительные вредоносные приложения, сгенерировать фейковые отзывы и даже выводить назойливую рекламу.

Помимо этого, шпионский модуль в состоянии перехватывать SMS-сообщения, список контактов, а также информацию об устройстве. Всё это позволяет операторам подписывать жертву на платные сервисы без её ведома и согласия.

В январе Google сообщил об удалении из Play Store 1700 приложений, заражённых Joker. Эта чистка, по словам интернет-гиганта, продолжалась последние три года.

Также стоит учитывать, что вредонос совершенствуется, авторы постоянно добавляют новые возможности и модернизируют старые. Последние образцы, например, оснащены функциями обхода защитных мер Google Play Store.

Всего специалисты обнаружили в официальном магазине четыре джокера. В общей сумме эти приложения скачали 130 тыс. раз. Примечательно, что авторы зловреда предприняли попытку скрыть злонамеренные функции, модифицировав отдельные строки.

Эксперты из компании Check Point, обнаружившие последние семплы, сообщили, что «Joker» не атакует Android-устройства из США и Канады.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В магазине аддонов Firefox найдены 40+ фейков, нацеленных на кражу крипты

Неизвестные злоумышленники уже несколько месяцев плодят в магазине аддонов для Firefox вредоносные клоны криптокошельков в надежде заполучить доступ к цифровым активам юзеров, по ошибке загрузивших фальшивку.

Как выяснили в Koi Security, текущая кампания стартовала как минимум в апреле этого года. На настоящий момент обнаружено 44 фейковых Coinbase, MetaMask, Phantom, Exodus, MyMonero, Ethereum Wallet и проч., и они продолжают множиться.

Вредоносный код, встроенный в копии популярных аддонов, заточен под перехват ключей и сид-фраз, открывающих доступ к кошелькам. Отслеживать ввод искомых секретов на сайтах ему помогают слушатели событий input и click.

 

Украденные данные зловред отправляет на свой сервер вместе с IP-адресом жертвы — видимо, для трекинга или целевых атак.

Придать видимость легитимности фальшивкам помогают скопированные с оригинала логотипы и накрутка рейтинга за счет публикации ложных положительных отзывов.

 

В коде опасных находок были обнаружены русскоязычные комментарии. Обо всех выявленных фейках было сообщено в Mozilla; некоторые из них все еще доступны в официальном магазине.

Разработчик Firefox активно борется с подобными фейками и обычно оперативно реагирует на жалобы, блокируя загрузку вредоносных аддонов, просочившихся на его сайт.

В этом году специалисты компании ввели в строй систему упреждающего детектирования криптоскама. Публикуемые аддоны Firefox в автоматическом режиме ранжируются по уровню риска; когда он высок, подключаются специалисты, и по результатам анализа принимается решение о блокировке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru