У Google Play Маркет знайшли понад десять додатків, що завантажують троянську програму Joker. З цим Android-“шкідником” Google бореться вже кілька років, але його творці виявляють наполегливість і винахідливість, обходячи всі перевірки в магазині додатків.

Троян Joker, він же Bread, з’явився у 2017 році. До початку 2020-го Google сукупно видалила понад 1,7 тис. додатків, заражених з метою поширення “шкідника”, а минулого вересня його двічі довелося видаляти з магазину.

Ця шкідлива програма примітна тим, що таємно оформляє підписку на преміум-послуги. Вона також вміє перехоплювати SMS, красти конфіденційні дані і список контактів, встановлювати бекдор, генерувати фейковий відгуки, нав’язливо показувати рекламу, йдеться у звіті Trend Micro.

Для обходу захисту Google Play автори Joker застосовують різні хитрощі, вносячи зміни в код. Так, два роки тому дослідники з Trend Micro виявили, що троян почав ховати корисне навантаження на GitHub.

Аналіз заражених програм, знайдених цього року, показав, що “шкідник” почав звертатися до C2-сервера, використовуючи можливості Google-платформи Firebase.

Таку поведінку демонстрували такі додатки (вже вилучені з магазину):

  • com.daynight.keyboard.wallpaper (Keyboard Wallpaper)
  • com.pip.editor.camera2021 (PIP Photo Maker 2 021)
  • com.light.super.flashlight (Flashlight)
  • com.super.color.hairdryer (Sound Prank Hair Clipper, Fart, Crack Screen Prank)
  • com.super.star.ringtones (Pop Ringtones)
  • org.my.favorites.up.keypaper
  • com.hit.camera.pip
  • com.ce1ab3.app.photo.editor
  • cool.girly.wallpaper (SubscribeSDK; знайдений на VirusTotal)
  • com.photo.modify.editor (Picture Editor)
  • com.better.camera.pip (PIP camera – Photo Editor)
  • com.face.editor.photo (Photo Editor)
  • com.background.wallpaper.keyboard (Keyboard Wallpaper)

Як виявилося, автори Joker також змінили корисне навантаження і тепер використовують дроппер. Його код значно заплутаний, кожен рядок кодується за base64, а потім застосовується шифр AES. Ключ для розшифровки “шкідник” запитує з C2-сервера.

Примітно, що, потрапивши на пристрій, дроппер також збирає і відправляє своїм господарям метадані – інформацію про джерело посилання. Це навело дослідників на думку, що Google Play в даному випадку лише один з каналів поширення інфекції.

Після запуску основного модуля Joker збирає дані про заражений пристрій і номер телефону. Після цього він вивантажує з C2-сервера код JavaScript і URL преміум-сервісу, а також створює в Actibity контейнер WebView для завантаження цільової сторінки. Сценарій JavaScript при цьому використовується для автоматичного оформлення передплати.

Сайти, на користь яких працює Joker, знаходяться в різних регіонах і оформлені різними мовами – англійською, німецькою, португальською, іспанською, арабською, тайському. Деякі з них використовують CAPTCHA, але троян з успіхом її обходить.

Яким чином його оператори отримують вигоду від цієї поведінки, незрозуміло: всі ці преміум-сервіси не передбачають виплат за залучення передплатників. Однак власникам Joker, очевидно, це для чогось потрібно, раз вони так завзято прагнуть зберегти все присутність на Google Play.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Signal чи Telegram: який додаток кращий для чату?

Топ-7 альтернативних месенджерів на заміну WhatsApp

Як перевірити швидкість з’єднання на Вашому комп’ютері? ІНСТРУКЦІЯ

Обережно, фальшивка! Популярні схеми шахрайства з вакциною від COVID-19

Як перейти на приватну пошукову систему DuckDuckGo? – ІНСТРУКЦІЯ

Як позбутися WhatsApp на Android та iOS? – ІНСТРУКЦІЯ

Як анонімно користуватися Signal або Telegram? ПОРАДИ

Нагадаємо, сінгапурська технологічна компанія Smart Media4U Technology заявила про виправлення уразливостей у додатку SHAREit, які могли дозволити зловмисникам віддалено виконувати довільний код на пристроях користувачів. Помилки безпеки впливають на додаток компанії SHAREit для Android, додаток, який завантажили понад 1 мільярд разів.

Дослідники з компанії Red Canary знайшли нову шкідливу програму, розроблену для атак на комп’ютери Apple MacВін отримав назву Silver Sparrow і вже встиг заразити приблизно 30 тис. пристроїв у 153 країнах світу, включаючи США, Великобританію, Канаду, Францію і Німеччину.

Також фахівці у галузі кібербезпеки виявили новий метод атаки, що дозволяє зловмисникам “обдурити” термінал для оплати (POS-термінал) і змусити його думати, що безконтактна картка Mastercard насправді є картою Visa.

Як стало відомо, минулими вихідними стався витік діалогів деяких користувачів Clubhouse. Компанія запевнила, що заблокувала хакера і вживає додаткових заходів безпеки, але розраховувати на приватність і захищеність розмов в соцмережі не варто, попередили експерти.

До речі, нещодавно виявлена ​​фішингова кампанія відзначилася цікавим підходом до крадіжки облікових даних жертви: зловмисники використовують API популярного месенджера Telegram для створення шкідливих доменів.