Im Google Play Store wurden bösartige Android-Apps entdeckt, die die Joker-Malware beherbergen.
Am Dienstag sagten Cybersicherheitsforscher des ThreatLabz von Zscaler, dass kürzlich insgesamt 11 Apps entdeckt und “regelmäßig in das offizielle App-Repository hochgeladen” wurden, was etwa 30.000 Installationen ausmacht.
Die Joker-Malware-Familie ist eine bekannte Variante, die sich auf die Kompromittierung von Android-Geräten konzentriert. Joker wurde entwickelt, um seine Opfer auszuspionieren, Informationen zu stehlen, Kontaktlisten zu sammeln und SMS-Nachrichten zu überwachen.
Wenn bösartige Apps, die Joker enthalten, auf einem Mobilteil landen, können sie verwendet werden, um Finanzbetrug zu begehen, beispielsweise indem sie heimlich Textnachrichten an Premium-Nummern senden oder Opfer bei WAP-Diensten (WLAN) anmelden, wodurch ihren Betreibern ein Teil des Erlös.
Joker missbraucht auch Android-Warnsysteme, indem er um Erlaubnis bittet, alle Benachrichtigungen zu lesen. Sofern vom Benutzer gewährt, ermöglicht dies der Malware, Benachrichtigungen über betrügerische Dienstanmeldungen zu verbergen.
Zu den neuesten anstößigen mobilen Anwendungen gehören “Translate Free”, “PDF Converter Scanner”, “Free Affluent Message” und “Delux Keyboard”.
Insgesamt wurden in den letzten zweieinhalb Monaten über 50 Joker-Payloads in Android-Apps erkannt, wobei Dienstprogramme, Gesundheit und Gerätepersonalisierung zu den wichtigsten App-Kategorien gehören.
zScaler
Laut den Forschern stellen Joker-Betreiber ihre Methoden ständig um, um Sicherheitsmechanismen und Überprüfungsprozesse von Google Play zu umgehen.
„Trotz des öffentlichen Bewusstseins für diese spezielle Malware findet sie immer wieder ihren Weg in den offiziellen Anwendungsmarkt von Google, indem sie Änderungen in ihrem Code, ihren Ausführungsmethoden oder Techniken zum Abrufen von Nutzdaten einsetzt“, sagen die Forscher.
Wir haben in der Vergangenheit einige Malware-Betreiber gesehen, die bösartige Updates verwendet haben, um Trojaner in Apps einzusetzen, die zunächst harmlos erschienen, aber im Fall von Joker scheinen URL-Shortener-Dienste ein fester Favorit zu sein, um erste Nutzlasten abzurufen.
„Im Gegensatz zur vorherigen Kampagne, bei der die Nutzlasten aus der Alibaba Cloud abgerufen wurden, haben wir in dieser Kampagne gesehen, wie die mit Joker infizierten Apps die Mediator-Nutzlast mit URL-Shortener-Diensten wie TinyURL, bit.ly, Rebrand.ly, zws.im oder 27url heruntergeladen haben. cn, um die bekannten Cloud-Service-URLs zu verbergen, die Stage-Payloads bereitstellen”, sagt ThreatLabz.
In den letzten Monaten wurden sowohl eine alte als auch eine neue Variante von Joker entdeckt. Im zweiten Fall wurde die URL-Shortener-Taktik auch verwendet, um Payloads der zweiten und letzten Stufe herunterzuladen und auszuführen.
Interessant ist, dass die bösartigen Apps in einigen Beispielen zuerst nach vier anderen Apps suchen, die in Google Play verfügbar waren, und wenn sie gefunden werden, stellt die Malware keine zusätzlichen Nutzlasten bereit. Zum Zeitpunkt des Schreibens wurden zwei dieser Apps entfernt.
“Aus den aufgeführten App-Kategorien und Entwicklernamen gehen wir davon aus, dass es sich wieder um Joker-bezogene Apps handelt, mit denen die infizierten Geräte bewertet werden können”, stellte das Team fest.
ThreatLabz sagt, dass die Verbreitung der Joker-Malware, die ständige Weiterentwicklung der Angriffstaktiken und die Anzahl der Nutzlasten, die ständig in App-Repositorys hochgeladen werden, zeigen, dass die Autoren der Malware ständig “erfolgreich” sind, Überprüfungsbeschränkungen und Sicherheitskontrollen zu umgehen.
Google nimmt Meldungen über bösartige Apps jedoch ernst und hat, wie in diesem Fall, die beleidigenden Joker-Apps schnell aus Google Play entfernt.
In verwandten Nachrichten veröffentlichte Atlas VPN diese Woche eine Untersuchung zum Stand der Android-Sicherheit. Nach Angaben des Teams enthalten über 60 % der Android-Apps Sicherheitslücken, mit durchschnittlich 39 Fehlern pro Anwendung.
Vorherige und verwandte Berichterstattung
Mit einem Update entführte diese bösartige Android-App Millionen von Geräten
Diese passwortstehlende Android-Malware verbreitet sich schnell: Darauf sollten Sie achten
Dies Android-Trojaner verwenden gefälschte Apps, um Smartphones zu infizieren, Bankdaten zu stehlen
Hast du einen Tipp? Sichere Kontaktaufnahme über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Mobilitätssicherheit TV-Datenverwaltung CXO-Rechenzentren 