Ondsinnede Android-apper som inneholder Joker-skadelig programvare, er blitt oppdaget i Google Play Butikk.
Tirsdag sa cybersecurity-forskere fra Zscaler's ThreatLabz at totalt 11 apper nylig ble oppdaget og funnet å være “regelmessig lastet opp” til det offisielle app-depotet, og utgjorde omtrent 30 000 installasjoner mellom dem.
Joker-skadefamilien er en kjent variant som fokuserer på å kompromittere Android-enheter. Joker er designet for å spionere på ofrene, stjele informasjon, høste kontaktlister og overvåke SMS-meldinger.
Når ondsinnede apper som inneholder Joker lander på et håndsett, kan de brukes til å utføre økonomisk svindel, for eksempel ved å skjule sending av tekstmeldinger til premiumnumre eller ved å registrere ofre for WAP-tjenester (Wireless Application Protocol), og tjene operatørene deres en del av fortsetter.
Joker misbruker også Android-varslingssystemer ved å be om tillatelse til å lese alle varsler. Hvis det gis av brukeren, lar dette skadelig programvare skjule varsler om falske tjenestepåmeldinger.
Det siste settet med fornærmende mobilapplikasjoner inkluderer “Translate Free”, “PDF Converter Scanner”, “Free Affluent Message” og “delux Keyboard.”
Samlet sett har over 50 Joker-nyttelast blitt oppdaget i Android-apper de siste to og en halv måned, med verktøy, helse og enhetstilpasning blant de viktigste appkategoriene.
zScaler
Ifølge forskerne bytter Joker-operatører stadig ut metodene sine for å omgå sikkerhetsmekanismer og Google Play-prosesser.
“Til tross for offentlig bevissthet om denne skadelige programvaren, fortsetter den å finne veien inn i Googles offisielle applikasjonsmarked ved å benytte endringer i koden, utførelsesmetodene eller teknologiene for henting av nyttelast,” sier forskerne.
Vi har sett noen skadelig programvareoperatører tidligere bruke ondsinnede oppdateringer for å distribuere trojanere på apper som først dukket opp godartede, men i Jokers tilfelle ser URL-forkortertjenester ut til å være en favoritt for å hente innledende nyttelast.
“I motsetning til den forrige kampanjen der nyttelastene ble hentet fra Alibaba Cloud, så vi i denne kampanjen de Joker-infiserte appene laste ned meklerens nyttelast med URL-forkortertjenester som TinyURL, bit.ly, Rebrand.ly, zws.im eller 27url. cn for å skjule de kjente nettadressene for skytjenesten som betjener nyttelast på scenen, sier ThreatLabz.
Både en gammel og ny variant av Joker har blitt oppdaget de siste månedene. I det andre tilfellet ble URL-forkortertaktikken også brukt til å laste ned og utføre andre og siste trinns nyttelast.
Et interessepunkt er at i noen eksempler vil de ondsinnede appene først sjekke om det er fire andre apper som var tilgjengelige i Google Play, og hvis de blir funnet, vil ikke skadelig programvare distribuere ekstra nyttelast. I skrivende stund er to av disse appene fjernet.
“Fra listede appkategorier og utviklernavn antar vi at dette igjen er Joker-relaterte apper som kan brukes til å vurdere de infiserte enhetene,” bemerket teamet.
ThreatLabz sier at utbredelsen av Joker-skadeprogrammet, den konstante utviklingen av angrepstaktikk, og antall nyttelaster som stadig lastes opp til applagre, avslører at forfatterne av skadelig programvare hele tiden “lykkes” med å omgå kontrollering av sikkerhet og sikkerhetskontroll.
Google tar imidlertid skadelige apprapporter på alvor og, som i dette tilfellet, fjernet raskt de fornærmede Joker-appene fra Google Play.
I relaterte nyheter denne uken publiserte Atlas VPN forskning om tilstanden til Android-sikkerhet. Ifølge teamet inneholder over 60% av Android-apper sårbarheter, med et gjennomsnitt på 39 feil per applikasjon.
Tidligere og beslektet dekning
Med en oppdatering kapret denne ondsinnede Android-appen millioner av enheter
Denne passordstyvende Android-malware sprer seg raskt: Her er hva du skal passe på
Dette Android trojan malware bruker falske apper for å infisere smarttelefoner, stjele bankdetaljer
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Mobilitetssikkerhet TV Data Management CXO datasentre 