Skadliga Android-appar som innehåller Joker-skadlig programvara har upptäckts i Google Play Butik.
På tisdag sa cybersäkerhetsforskare från Zscaler's ThreatLabz att totalt 11 appar nyligen upptäcktes och visade sig “regelbundet laddas upp” till det officiella appförvaret, som står för cirka 30 000 installationer mellan dem.
Joker-skadefamiljen är en välkänd variant som fokuserar på att kompromissa med Android-enheter. Joker är utformad för att spionera på sina offer, stjäla information, skörda kontaktlistor och övervaka SMS-meddelanden.
När skadliga appar som innehåller Joker landar på en telefon kan de användas för att bedriva ekonomiskt bedrägeri, till exempel genom att hemligt skicka textmeddelanden till premiumnummer eller genom att registrera offer för trådlösa applikationsprotokoll (WAP) -tjänster, vilket tjänar sina operatörer en bit av fortsätter.
Joker missbrukar också Android-varningssystem genom att be om tillstånd att läsa alla meddelanden. Om användaren beviljar det, tillåter detta skadlig programvara att dölja aviseringar som rör bedrägliga tjänstregistreringar.
Den senaste uppsättningen av kränkande mobilapplikationer inkluderar “Translate Free”, “PDF Converter Scanner”, “Free Affluent Message” och “Delux Keyboard.”
Sammantaget har över 50 Joker-nyttolast upptäckts i Android-appar under de senaste två och en halv månader, med verktyg, hälsa och personalanpassning bland de viktigaste appkategorierna.
zScaler
Enligt forskarna byter Joker-operatörer ständigt upp sina metoder för att kringgå säkerhetsmekanismer och Google Play-kontrollprocesser.
“Trots allmänhetens medvetenhet om detta skadliga program fortsätter det att hitta sin väg in i Googles officiella applikationsmarknad genom att använda ändringar i dess kod, exekveringsmetoder eller tekniker för att hämta nyttolast”, säger forskarna.
Vi har sett att vissa malware-operatörer tidigare använder skadliga uppdateringar för att distribuera trojaner på appar som först verkade godartade, men i Jokers fall verkar URL-förkortningstjänster vara en favorit för att hämta initiala nyttolast.
“Till skillnad från den tidigare kampanjen där nyttolasten hämtades från Alibaba Cloud, såg vi i den här kampanjen de Joker-infekterade apparna ladda ner medlarens nyttolast med URL-förkortningstjänster som TinyURL, bit.ly, Rebrand.ly, zws.im eller 27url. cn för att dölja kända molntjänst-URL: er som betjänar nyttolaster för scenen, säger ThreatLabz.
Både en gammal och ny variant av Joker har upptäckts under de senaste månaderna. I det andra fallet användes URL-förkortningstaktiken också för att ladda ner och köra nyttolast i andra och sista steget.
En intressant plats är att i vissa prover kommer de skadliga apparna först att kontrollera om det finns fyra andra appar som var tillgängliga i Google Play, och om de hittas kommer skadlig programvara inte att distribuera ytterligare nyttolast. I skrivande stund har två av dessa appar tagits bort.
“Från de listade apparkategorierna och utvecklarnamnen antar vi att det här igen är Joker-relaterade appar som kan användas för att bedöma de infekterade enheterna”, noterade teamet.
ThreatLabz säger att förekomsten av Joker-skadlig programvara, den ständiga utvecklingen av attacktaktik och antalet nyttolaster som ständigt laddas upp till appförvar avslöjar att malwareens författare ständigt “lyckas” med att kringgå begränsningar och säkerhetskontroll.
Google tar dock skadliga apprapporter på allvar och, som i det här fallet, tog de kränkande Joker-apparna snabbt bort från Google Play.
I relaterade nyheter den här veckan publicerade Atlas VPN forskning om tillståndet för Android-säkerhet. Enligt teamet innehåller över 60% av Android-appar sårbarheter, med i genomsnitt 39 buggar per applikation.
Tidigare och relaterad täckning
Med en uppdatering kapade den här skadliga Android-appen miljontals enheter
Den här lösenordsslipande Android-malware sprider sig snabbt: Här är vad du ska se upp för – Detta Android trojan malware använder falska appar för att infektera smartphones, stjäla bankuppgifter
Har du ett tips? Ta kontakt säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Mobility Security TV Data Management CXO Data Centers 