Kwaadaardige Android-apps met de Joker-malware zijn ontdekt in de Google Play Store.
Op dinsdag zeiden cybersecurity-onderzoekers van Zscaler's ThreatLabz dat er onlangs in totaal 11 apps zijn ontdekt en “regelmatig zijn geüpload” naar de officiële app-repository, goed voor ongeveer 30.000 installaties tussen hen.
De Joker-malwarefamilie is een bekende variant die zich richt op het compromitteren van Android-apparaten. Joker is ontworpen om zijn slachtoffers te bespioneren, informatie te stelen, contactlijsten te verzamelen en sms-berichten te controleren.
Wanneer kwaadaardige apps met Joker op een handset terechtkomen, kunnen ze worden gebruikt om financiële fraude te plegen, bijvoorbeeld door heimelijk sms-berichten naar premiumnummers te sturen of door slachtoffers aan te melden voor WAP-services (Wireless Application Protocol), waardoor hun operators een deel van de opbrengst.
Joker maakt ook misbruik van Android-waarschuwingssystemen door toestemming te vragen om alle meldingen te lezen. Als dit door de gebruiker wordt toegestaan, kan de malware hierdoor meldingen met betrekking tot frauduleuze service-aanmeldingen verbergen.
De nieuwste reeks beledigende mobiele applicaties zijn onder meer 'Translate Free', 'PDF Converter Scanner', 'Free welvarend bericht' en 'delux Keyboard'.
In totaal zijn er de afgelopen tweeënhalve maand meer dan 50 Joker-payloads gedetecteerd in Android-apps, waarbij hulpprogramma's, gezondheid en apparaatpersonalisatie de belangrijkste app-categorieën zijn.
zScaler
Volgens de onderzoekers veranderen Joker-operators voortdurend hun methoden om beveiligingsmechanismen en Google Play-controleprocessen te omzeilen.
“Ondanks het publieke bewustzijn van deze specifieke malware, blijft het zijn weg vinden naar de officiële applicatiemarkt van Google door wijzigingen aan te brengen in de code, uitvoeringsmethoden of technieken voor het ophalen van payloads”, zeggen de onderzoekers.
We hebben in het verleden gezien dat sommige malware-operators kwaadaardige updates gebruiken om trojans te implementeren in apps die aanvankelijk goedaardig leken, maar in het geval van Joker lijken URL-verkortingsservices een vaste favoriet te zijn om initiële payloads op te halen.
“In tegenstelling tot de vorige campagne waarbij de payloads werden opgehaald uit de Alibaba Cloud, zagen we in deze campagne de Joker-geïnfecteerde apps de mediator-payload downloaden met URL-verkortingsservices zoals TinyURL, bit.ly, Rebrand.ly, zws.im of 27url. cn om de bekende cloudservice-URL's te verbergen die stage-payloads bedienen”, zegt ThreatLabz.
Zowel een oude als een nieuwe variant van Joker is de afgelopen maanden ontdekt. In het tweede geval werd de URL-verkorter-tactiek ook gebruikt om payloads in de tweede en laatste fase te downloaden en uit te voeren.
Een aandachtspunt is dat in sommige voorbeelden de kwaadaardige apps eerst controleren op de aanwezigheid van vier andere apps die beschikbaar waren in Google Play, en als ze worden gevonden, zal de malware geen extra payloads inzetten. Op het moment van schrijven zijn twee van deze apps verwijderd.
“Van de vermelde app-categorieën en namen van ontwikkelaars nemen we aan dat dit weer Joker-gerelateerde apps zijn die kunnen worden gebruikt om de geïnfecteerde apparaten te beoordelen”, merkte het team op.
ThreatLabz zegt dat de prevalentie van de Joker-malware, de constante evolutie van aanvalstactieken en het aantal payloads dat constant wordt geüpload naar app-opslagplaatsen, laat zien dat de auteurs van de malware er constant in slagen om controlebeperkingen en beveiligingscontroles te omzeilen.
Google neemt malafide app-meldingen echter serieus en heeft, zoals in dit geval, de aanstootgevende Joker-apps snel van Google Play verwijderd.
In gerelateerd nieuws deze week publiceerde Atlas VPN onderzoek naar de staat van Android-beveiliging. Volgens het team bevat meer dan 60% van de Android-apps kwetsbaarheden, met gemiddeld 39 bugs per applicatie.
Eerdere en gerelateerde berichtgeving
Met één update heeft deze kwaadaardige Android-app miljoenen apparaten gekaapt
Deze wachtwoordstelende Android-malware verspreidt zich snel: hier moet je op letten
Dit Trojaanse Android-malware gebruikt nep-apps om smartphones te infecteren en bankgegevens te stelen
Heeft u een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Mobiliteitsbeveiliging TV-gegevensbeheer CXO-datacenters 