Дослідники безпеки з компанії Check Point виявили нову версію шкідливого ПЗ Joker (також відомого як Bread), яке поширюється під виглядом легітимних мобільних додатків для Android і оформляє підписки на платні послуги без відома користувачів.
За словами експертів, операторам Joker вдалося знайти ще один спосіб обійти захист Google Play Store – вони приховують шкідливий виконуваний файл DEX всередині програми у вигляді закодованих в Base64 рядків, які потім декодуються і завантажуються на скомпрометований пристрій.
Спочатку код, який відповідав за зв’язок з C&C-сервером і завантаження файлу dex, знаходився всередині основного файлу classes.dex, але тепер функціональність вихідного файлу classes.dex включає завантаження нового корисного навантаження. Joker створює новий об’єкт, який зв’язується з C&C-сервером. Після підтвердження він може підготувати процес завантаження шкідливого модуля.
Для завантаження файлу dex використовувався метод читання його з файлу маніфесту. Під час перевірки файлу маніфесту експерти виявили інше поле метаданих, яке містило закодований в Base64 dex-файл. Таким чином, досить було прочитати дані з файлу маніфесту, декодувати корисне навантаження і завантажити новий файл dex.
Фахівці в ході дослідження також виявили “проміжний” варіант, в якому використовувалася техніка приховування файлу .dex у вигляді закодованих у Base64 рядків, але замість додавання рядків в файл маніфесту вони розташовувалися у внутрішньому класі основного додатка. У такому випадку для запуску шкідливого коду досить було прочитати рядки, декодувати їх і завантажити з відображенням.
За словами експертів, для здійснення підписки користувачів на послуги преміум-класу без їх відома, Joker використовував два основних компоненти -Notification Listener в якості частини оригінальну програму і динамічний файл dex, завантажений з C&C-сервера для виконання реєстрації.
Нагадаємо, що кампанія із шкідливим програмним забезпеченням в 2019 році встигла проникнути в офіційний магазин Google Play, щоб розгорнути троян Joker на пристроях Android. Шкідник створював обманну рекламу та підписував користувачів на платні сервіси мобільних операторів без їхнього відома.
Вперше шкідливе ПЗ було виявлене в 2017 році, Joker є одним з найбільш поширених видів шкідливих програм для Android, що дозволяє своїм операторам виконувати шахрайські дії з платежами і володіє можливостями шпигунського ПЗ, включаючи викрадення SMS-повідомлень, контактів та інформації про пристрій.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ
ПОРАДИ ЩОДО ОРГАНІЗАЦІЇ СВОЇХ ДОДАТКІВ ДЛЯ IPHONE АБО IPAD
ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ
НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?
ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ
Ноутбук та рідина – це погана комбінація, але трапляються випадки, коли вони все ж таки “об’єднуються”. Про те, що робити, якщо це сталося, читайте у статті.
Також після тестування стало відомо, що надзвичайно популярний сьогодні додаток – TikTok, зберігає вміст буфера обміну кожні кілька натискань клавіш. Цей факт насторожив багатьох користувачів, але TikTok лише один із 53 додатків, які зберігають інформацію про користувачів таким чином.
Стало відомо, що мешканець Житомирщини підмінив міжнародного мобільного трафіку на понад півмільйона гривень. Крім цього, встановлено інші злочинні осередки які здійснюють підміну міжнародного трафіку в різних регіонах країни.
До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.
Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.