Android-вредонос Joker совершил очередной налёт на Google Play Store

Екатерина Быстрова 15 Июля 2021 - 09:59

...

Android-вредонос Joker совершил очередной налёт на Google Play Store

Вредоносная программа для Android, известная всем под именем Joker, никак не отпускает Google Play Store. На этот раз авторы зловреда вернулись с целым набором новых трюков, помогающих Joker обойти сканеры официального магазина приложений.

«Джокер» известен экспертам с 2017 года. Вот уже четыре года тактика авторов вредоноса остаётся неизменной: Joker маскируют под легитимные приложения вроде игр, мессенджеров, редакторов фото, программ-переводчиков и обоев для рабочего стола.

Как только Joker попадает в систему, он начинает незаметно для пользователя имитировать клики, перехватывать СМС-сообщения и подписывать жертву на платные сервисы. Такие мобильные вредоносы получили отдельную категорию — fleeceware.

Как правило, жертва даже не подозревает о наличии вредоносного софта до того момента, как ей не приходит счёт на крупную сумму. Также fleeceware может передавать оператору сообщения, список контактов и информацию об устройстве.

С 2019 года Joker не раз проникал в Google Play Store, поскольку его авторы постоянно вносят мелкие детали в свою схему. Поэтому и наблюдались такие явления, как периодические волны атак «Джокера» на пользователей официального магазина. По данным специалистов Zimperium, за последние четыре года из Play Store удалили более 1800 приложений, заражённых Joker.

«Создатели вредоноса регулярно находят и воплощают новые методы обхода защитных барьеров Play Store. Рано или поздно зловреда, конечно, обнаруживают, однако он в очередной раз демонстрирует, насколько часто такой софт может модифицироваться — игра в "Кошки-мышки"», — пишет Zimperium в отчёте.

Последние версии Joker отмечались старанием скрыть истинные намерения приложения. В этом авторам вредоноса помогает инструмент для разработчиков с открытым исходным кодом — Flutter. При использовании этого набора даже вредоносный код будет выглядеть для сканеров как безобидный.

Помимо этого, «Джокер» за последнее время научился встраивать пейлоад в качестве .DEX-файла, который обфусцируется разными методами. Как правило, злоумышленники прибегают к стеганографии, где изображение хранится на удалённом командном сервере (C2).

Чтобы спрятать URL командного центра, киберпреступники используют специальные сервисы для сокращения ссылок.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 18:23

Windows Staffcop Enterprise Корпорации Системы защиты от утечек конфиденциальной информации (DLP)

Staffcop добавил файловый сканер и перехват данных в MAX на Windows

В Staffcop (входит в экосистему «Контур») вышло обновление, которое добавляет больше инструментов для расследования инцидентов и профилактики утечек. Самое важное нововведение — файловый сканер для инвентаризации данных и перехват переписки в MAX на Windows.

Новый файловый сканер собирает информацию о файлах на рабочих станциях и в хранилищах, анализирует их содержимое и передаёт результаты на сервер.

Данные автоматически раскладываются по категориям, после чего с ними проще работать: настраивать доступы, политики, назначать метки. Для ИБ-специалистов добавили удобные фильтры и поиск — это упрощает разбор результатов и помогает быстрее находить чувствительные данные и потенциальные риски.

Кроме того, Staffcop теперь учитывает метки, которые проставляет «Спектр.Маркер», и использует их в метаданных файлов. Это позволяет точнее применять политики и ускоряет расследование инцидентов: информация из двух систем анализируется автоматически.

В части контроля коммуникаций добавлен перехват переписки в мессенджере MAX на Windows, а также WebWhatsApp на Linux. Это даёт возможность анализировать сообщения, фиксировать нарушения и выявлять признаки передачи защищаемой информации через несанкционированные каналы.

Разработчики также переработали обработку данных: ускорили извлечение текста и выделение слов-триггеров. Новый механизм спуллера распределяет нагрузку при приёме данных от агентов, что снижает риск просадок производительности и ошибок при работе с большими объёмами информации.

Появился обновлённый драйвер контроля клавиатуры — он позволяет надёжнее фиксировать ввод паролей при входе в систему. Это расширяет возможности контроля рабочих станций и помогает выявлять слабые пароли, несанкционированные учётные записи и попытки доступа.

Обновили и утилиту удалённой установки агентов: теперь можно гибче задавать правила установки и исключения, что особенно актуально для сложной инфраструктуры. Добавлена поддержка Rutoken на Windows для контроля использования токенов, а в интерфейсе появилась информация о сроке окончания технической поддержки сервера — чтобы администраторам было проще планировать обновления и продление поддержки.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »