Упрямый Android-зловред Joker опять просочился в Google Play Store

Упрямый Android-зловред Joker опять просочился в Google Play Store

Упрямый Android-зловред Joker опять просочился в Google Play Store

На Google Play найдено больше десятка приложений, загружающих троянскую программу Joker. С этим Android-зловредом Google борется уже несколько лет, но его создатели проявляют большое упорство и изобретательность, вновь и вновь обходя все проверки в магазине, чтобы вернуть свое детище на прилавок.

Троян Joker, он же Bread, появился на интернет-арене в 2017 году. К началу 2020-го Google совокупно удалила более 1,7 тыс. приложений, зараженных с целью распространения зловреда, а в минувшем сентябре его дважды пришлось изгонять из магазина.

Эта вредоносная программа примечательна тем, что скрытно оформляет подписку на премиум-услуги. Она также умеет перехватывать СМС, воровать конфиденциальные данные и список контактов, устанавливать бэкдор, генерировать фейковые отзывы, навязчиво показывать рекламу.

Для обхода защиты Google Play авторы Joker применяют различные уловки, привнося изменения в код. Так, два года назад исследователи из Trend Micro обнаружили, что троян стал прятать полезную нагрузку на GitHub. Анализ зараженных программ, найденных в этом году, показал, что зловред начал обращаться к C2-серверу, используя возможности Google-платформы Firebase.

Такое поведение демонстрировали следующие приложения (уже удалены из магазина):    

  • com.daynight.keyboard.wallpaper (Keyboard Wallpaper)
  • com.pip.editor.camera2021 (PIP Photo Maker 2021)
  • com.light.super.flashlight (Flashlight)
  • com.super.color.hairdryer (Sound Prank Hair Clipper, Fart, Crack Screen Prank)
  • com.super.star.ringtones (Pop Ringtones)
  • org.my.favorites.up.keypaper
  • com.hit.camera.pip
  • com.ce1ab3.app.photo.editor
  • cool.girly.wallpaper (SubscribeSDK; найден на VirusTotal)
  • com.photo.modify.editor (Picture Editor)
  • com.better.camera.pip (PIP camera – Photo Editor)
  • com.face.editor.photo (Photo Editor)
  • com.background.wallpaper.keyboard (Keyboard Wallpaper)

Как оказалось, авторы Joker также сменили полезную нагрузку и теперь используют дроппер. Его код сильно обфусцирован, каждая строка кодируется по base64, а затем применяется шифр AES. Ключ для расшифровки зловред запрашивает с C2-сервера.

Примечательно, что, попав на устройство, дроппер также собирает и отправляет своим хозяевам метаданные — информацию об источнике ссылки (рефере). Это навело исследователей на мысль, что Google Play в данном случае лишь один из каналов распространения инфекции.

После запуска основного модуля Joker собирает данные о зараженном устройстве и номер телефона. После этого он скачивает с C2-сервера код JavaScript и URL премиум-сервиса, а также создает в Actibity контейнер WebView для загрузки целевой страницы. Сценарий JavaScript при этом используется для автоматического оформления подписки.

Сайты, в пользу которых работает Joker, находятся в разных регионах и оформлены на различных языках — английском, немецком, португальском, испанском, арабском, тайском. Некоторые из них используют CAPTCHA, но зловред с успехом ее обходит. Каким образом его операторы извлекают выгоду из этого поведения, непонятно: все эти премиум-сервисы не предусматривают выплат за привлечение подписчиков. Однако повелителям Joker, по всей видимости, это зачем-то нужно, раз они так упорно стремятся сохранить все присутствие на Google Play.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

За передачу симки — штраф до 50 тысяч: в Госдуме обсуждают новые поправки

В Госдуме рассматривают идею ввести штрафы за передачу своего абонентского номера другому человеку. Такая норма появилась в таблице поправок, опубликованной 15 июля на официальном сайте думской базы.

Согласно документу, если человек передаёт свой номер, оформленный по договору с оператором, кому-то ещё — это может обернуться штрафом от 30 до 50 тысяч рублей.

Поправки предлагается внести в новую статью КоАП — 13.29.1, которая касается нарушений при заключении договоров связи через интернет в обход требований законодательства.

Под раздачу могут попасть и юрлица с ИП: если они дают кому-то пользоваться своей связью — а это не их сотрудники — им грозит штраф. Для ИП — от 100 до 200 тысяч рублей, для компаний — от 50 до 100 тысяч.

В то же время в поправках уточняется: если вы, например, дали свою симку другу или родственнику буквально на пару часов и бесплатно — это не считается нарушением. Главное, чтобы передача была кратковременной и не имела коммерческого характера.

Напомним, в также России предложили штрафовать за поиск экстремистских материалов и VPN. Ко второму чтению законопроекта №755710-8 предложены поправки, вводящие штрафы за умышленный поиск и получение доступа к «заведомо экстремистским материалам», а также за рекламу VPN-сервисов и других технических средств, позволяющих обходить блокировки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru