Упрямый Android-зловред Joker опять просочился в Google Play Store

Упрямый Android-зловред Joker опять просочился в Google Play Store

Упрямый Android-зловред Joker опять просочился в Google Play Store

На Google Play найдено больше десятка приложений, загружающих троянскую программу Joker. С этим Android-зловредом Google борется уже несколько лет, но его создатели проявляют большое упорство и изобретательность, вновь и вновь обходя все проверки в магазине, чтобы вернуть свое детище на прилавок.

Троян Joker, он же Bread, появился на интернет-арене в 2017 году. К началу 2020-го Google совокупно удалила более 1,7 тыс. приложений, зараженных с целью распространения зловреда, а в минувшем сентябре его дважды пришлось изгонять из магазина.

Эта вредоносная программа примечательна тем, что скрытно оформляет подписку на премиум-услуги. Она также умеет перехватывать СМС, воровать конфиденциальные данные и список контактов, устанавливать бэкдор, генерировать фейковые отзывы, навязчиво показывать рекламу.

Для обхода защиты Google Play авторы Joker применяют различные уловки, привнося изменения в код. Так, два года назад исследователи из Trend Micro обнаружили, что троян стал прятать полезную нагрузку на GitHub. Анализ зараженных программ, найденных в этом году, показал, что зловред начал обращаться к C2-серверу, используя возможности Google-платформы Firebase.

Такое поведение демонстрировали следующие приложения (уже удалены из магазина):    

  • com.daynight.keyboard.wallpaper (Keyboard Wallpaper)
  • com.pip.editor.camera2021 (PIP Photo Maker 2021)
  • com.light.super.flashlight (Flashlight)
  • com.super.color.hairdryer (Sound Prank Hair Clipper, Fart, Crack Screen Prank)
  • com.super.star.ringtones (Pop Ringtones)
  • org.my.favorites.up.keypaper
  • com.hit.camera.pip
  • com.ce1ab3.app.photo.editor
  • cool.girly.wallpaper (SubscribeSDK; найден на VirusTotal)
  • com.photo.modify.editor (Picture Editor)
  • com.better.camera.pip (PIP camera – Photo Editor)
  • com.face.editor.photo (Photo Editor)
  • com.background.wallpaper.keyboard (Keyboard Wallpaper)

Как оказалось, авторы Joker также сменили полезную нагрузку и теперь используют дроппер. Его код сильно обфусцирован, каждая строка кодируется по base64, а затем применяется шифр AES. Ключ для расшифровки зловред запрашивает с C2-сервера.

Примечательно, что, попав на устройство, дроппер также собирает и отправляет своим хозяевам метаданные — информацию об источнике ссылки (рефере). Это навело исследователей на мысль, что Google Play в данном случае лишь один из каналов распространения инфекции.

После запуска основного модуля Joker собирает данные о зараженном устройстве и номер телефона. После этого он скачивает с C2-сервера код JavaScript и URL премиум-сервиса, а также создает в Actibity контейнер WebView для загрузки целевой страницы. Сценарий JavaScript при этом используется для автоматического оформления подписки.

Сайты, в пользу которых работает Joker, находятся в разных регионах и оформлены на различных языках — английском, немецком, португальском, испанском, арабском, тайском. Некоторые из них используют CAPTCHA, но зловред с успехом ее обходит. Каким образом его операторы извлекают выгоду из этого поведения, непонятно: все эти премиум-сервисы не предусматривают выплат за привлечение подписчиков. Однако повелителям Joker, по всей видимости, это зачем-то нужно, раз они так упорно стремятся сохранить все присутствие на Google Play.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

VK WorkSpace теперь совместим с DLP-системой InfoWatch Traffic Monitor

DLP-система InfoWatch Traffic Monitor теперь совместима с on-premise-версией платформы VK WorkSpace. Это означает, что компании смогут контролировать, какие данные передаются в корпоративных письмах и мессенджере, и вовремя предотвращать утечки.

Интеграция охватывает основные каналы рабочей коммуникации — электронную почту и мессенджер VK Teams. DLP-система отслеживает текст, вложения и документы, выявляет потенциально конфиденциальную информацию и проверяет, нарушаются ли политики безопасности компании.

Если нарушение зафиксировано, система может автоматически заблокировать отправку сообщения, ограничить доступ к файлам и уведомить ИБ-специалистов.

Почта, работающая в составе VK WorkSpace, тоже подключается к DLP-системе. Есть несколько способов настройки: можно перенаправлять почтовый трафик через SMTP или использовать скрытую копию (BCC).

Интеграция настраивается через административный интерфейс — достаточно указать адрес сервера или почтового ящика DLP. Кроме того, защиту трафика на рабочих устройствах обеспечивает установленный агент InfoWatch.

Как подчёркивают в обеих компаниях, эта интеграция — ответ на запросы бизнеса и госсектора на усиление контроля за утечками и работу в полностью российских ИТ-средах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru