Упрямый Android-зловред Joker опять просочился в Google Play Store

Упрямый Android-зловред Joker опять просочился в Google Play Store

Упрямый Android-зловред Joker опять просочился в Google Play Store

На Google Play найдено больше десятка приложений, загружающих троянскую программу Joker. С этим Android-зловредом Google борется уже несколько лет, но его создатели проявляют большое упорство и изобретательность, вновь и вновь обходя все проверки в магазине, чтобы вернуть свое детище на прилавок.

Троян Joker, он же Bread, появился на интернет-арене в 2017 году. К началу 2020-го Google совокупно удалила более 1,7 тыс. приложений, зараженных с целью распространения зловреда, а в минувшем сентябре его дважды пришлось изгонять из магазина.

Эта вредоносная программа примечательна тем, что скрытно оформляет подписку на премиум-услуги. Она также умеет перехватывать СМС, воровать конфиденциальные данные и список контактов, устанавливать бэкдор, генерировать фейковые отзывы, навязчиво показывать рекламу.

Для обхода защиты Google Play авторы Joker применяют различные уловки, привнося изменения в код. Так, два года назад исследователи из Trend Micro обнаружили, что троян стал прятать полезную нагрузку на GitHub. Анализ зараженных программ, найденных в этом году, показал, что зловред начал обращаться к C2-серверу, используя возможности Google-платформы Firebase.

Такое поведение демонстрировали следующие приложения (уже удалены из магазина):    

  • com.daynight.keyboard.wallpaper (Keyboard Wallpaper)
  • com.pip.editor.camera2021 (PIP Photo Maker 2021)
  • com.light.super.flashlight (Flashlight)
  • com.super.color.hairdryer (Sound Prank Hair Clipper, Fart, Crack Screen Prank)
  • com.super.star.ringtones (Pop Ringtones)
  • org.my.favorites.up.keypaper
  • com.hit.camera.pip
  • com.ce1ab3.app.photo.editor
  • cool.girly.wallpaper (SubscribeSDK; найден на VirusTotal)
  • com.photo.modify.editor (Picture Editor)
  • com.better.camera.pip (PIP camera – Photo Editor)
  • com.face.editor.photo (Photo Editor)
  • com.background.wallpaper.keyboard (Keyboard Wallpaper)

Как оказалось, авторы Joker также сменили полезную нагрузку и теперь используют дроппер. Его код сильно обфусцирован, каждая строка кодируется по base64, а затем применяется шифр AES. Ключ для расшифровки зловред запрашивает с C2-сервера.

Примечательно, что, попав на устройство, дроппер также собирает и отправляет своим хозяевам метаданные — информацию об источнике ссылки (рефере). Это навело исследователей на мысль, что Google Play в данном случае лишь один из каналов распространения инфекции.

После запуска основного модуля Joker собирает данные о зараженном устройстве и номер телефона. После этого он скачивает с C2-сервера код JavaScript и URL премиум-сервиса, а также создает в Actibity контейнер WebView для загрузки целевой страницы. Сценарий JavaScript при этом используется для автоматического оформления подписки.

Сайты, в пользу которых работает Joker, находятся в разных регионах и оформлены на различных языках — английском, немецком, португальском, испанском, арабском, тайском. Некоторые из них используют CAPTCHA, но зловред с успехом ее обходит. Каким образом его операторы извлекают выгоду из этого поведения, непонятно: все эти премиум-сервисы не предусматривают выплат за привлечение подписчиков. Однако повелителям Joker, по всей видимости, это зачем-то нужно, раз они так упорно стремятся сохранить все присутствие на Google Play.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

54% атак на облака связаны с компрометацией учётных записей

За первые шесть месяцев 2025 года специалисты Yandex B2B Tech зафиксировали более 25 тысяч попыток атак на облачные и гибридные инфраструктуры. При этом злоумышленники всё чаще используют не сложные уязвимости, а легитимные учётные данные. В 54% случаев атака начиналась с подбора паролей или использования уже украденных логинов.

Чаще всего под удар попадали компании-разработчики ПО и SaaS-сервисы (35%). Это связано с возможностью атаковать их клиентов через цепочку поставок.

На втором месте — электронная коммерция и ретейл (22%), где в зоне риска персональные данные покупателей, включая данные лояльности и платежи. Далее — консалтинг, научные институты и финорганизации (по 15% каждая).

Эксперты отмечают, что главные угрозы в облаке связаны с компрометацией учётных записей, злоупотреблением легитимным доступом, ошибками в настройках или игнорированием встроенных функций безопасности.

«Мы видим рост атак, которые начинаются с компрометации корпоративных аккаунтов. Всё реже хакеры идут по пути сложного взлома и всё чаще используют украденные пароли или доступ через подрядчиков. Поэтому компаниям важно защищать учётные данные, внедрять многофакторную аутентификацию и мониторить активность пользователей», — пояснил Евгений Сидоров, директор по информационной безопасности в Yandex Cloud.

Аналитики также отмечают изменение мотивации киберпреступников. Если раньше атаки чаще были направлены на нанесение репутационного ущерба или разрушение инфраструктуры, то в первой половине 2025 года уже 61% случаев связаны с вымогательством: шифрованием данных с последующим требованием выкупа или их перепродажей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru