Користувачів, які завантажили програму, заражену шкідливим програмним забезпеченням Joker, закликали негайно видалити її.

Понад півмільйона користувачів Android після завантаження з магазину Google Play встановили програму, яка використовується для доставки шкідливих програм Joker.

Дослідники кібербезпеки з Pradeo виявили зловмисне програмне забезпечення, яке Google тепер видалила зі свого офіційного магазину додатків для Android. До його видалення програму під назвою «Color Message» завантажили понад 500 000 користувачів Android.

Рекламований як додаток, що дозволяє користувачам персоналізувати свої SMS-повідомлення за замовчуванням, Color Message був фронтом для доставки Joker, однієї з найпоширеніших форм шкідливого програмного забезпечення Android.

Після встановлення зловмисне програмне забезпечення виконує три речі:

• імітує кліки, щоб отримувати дохід від шкідливої ​​реклами;
• підписує користувачів на небажані платні послуги преміум-класу для крадіжки грошей і шахрайства з виставленням рахунків;
• отримує доступ до списків контактів користувачів і надсилає інформацію зловмисникам.

Дослідники припускають, що є докази того, що вкрадена інформація надсилається на сервери, розміщені в Росії.

Негативні відгуки про програму в Play Store свідчать про те, що деякі користувачі помітили несанкціоновану поведінку зі скаргами на стягнення плати за послуги, до яких вони не запитували доступ.

У Google Play є протоколи, призначені для запобігання публікації шкідливих програм. Однак розробникам шкідливого додатка вдалося їх обійти.

«Використовуючи якомога менше коду та ретельно приховуючи його, Джокер створює непомітний слід, який може бути складно виявити», — сказала Роксана Суау з Pradeo.

Користувачів, які завантажили Color Message з Google Play Store, закликали негайно видалити програму.

Це далеко не перший випадок, коли Джокер був виявлений в Play Store – Pradeo каже, що його знайшли в сотнях додатків за останні два роки, але враховуючи, наскільки вони стійкі, вони, швидше за все, спробують поширити зловмисне програмне забезпечення.

Ця стаття Понад 500 000 користувачів Android були інфіковані після завантаження цієї програми з Google Play раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Понад півмільйона користувачів смартфонів Huawei завантажили з офіційного магазину AppGallery додатки, інфіковані відомим “шкідником” Joker. Особливість цього зловмисного ПЗ для Android у тому, що він підписує користувачів на платні послуги.

Спочатку дослідники виявили десять програм, які на перший погляд здалися нешкідливими. Однак  згодом фахівці з’ясували, що ці програми містили шкідливий код для з’єднання з командним сервером (C2). Останній передавав софту конфігурацію і додаткові компоненти, пише Digital Information World.

Список зловмисних програм включав екранні клавіатури, додатки для зйомки фото, месенджер, лончер, колекцію стікерів і навіть гру. Щоб мати можливість перехоплювати СМС-повідомлення, софт запитує доступ до повідомлень.

Десять таких додатків завантажили загалом  538 тисяч користувачів. Ось ці зловмисні  програми:

• Super Keyboard;
• Happy Colour;
• Fun Color;
• New 2 021 Keyboard;
• Camera MX – Photo Video Camera;
• BeautyPlus Camera;
• Color RollingIcon;
• Funney Meme Emoji;
• Happy Tapping;
• All-in-One Messenger.

Також на GitHub можна знайти відповідні індикатори компрометації.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ

Як захистити Вашу конфіденційність в Інтернеті, якщо режим анонімного перегляду у Chrome виявився слабким?

Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?

Злам веб-сайту: сім ознак, що свідчать про це

Як підвищити захист екаунта в Twitter? ПОРАДИ

Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.

Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.

Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.

До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.

Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.

Ця стаття На смартфонах Huawei знайшли “шкідника”, який підписує на платні послуги раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

У Google Play Маркет знайшли понад десять додатків, що завантажують троянську програму Joker. З цим Android-“шкідником” Google бореться вже кілька років, але його творці виявляють наполегливість і винахідливість, обходячи всі перевірки в магазині додатків.

Троян Joker, він же Bread, з’явився у 2017 році. До початку 2020-го Google сукупно видалила понад 1,7 тис. додатків, заражених з метою поширення “шкідника”, а минулого вересня його двічі довелося видаляти з магазину.

Ця шкідлива програма примітна тим, що таємно оформляє підписку на преміум-послуги. Вона також вміє перехоплювати SMS, красти конфіденційні дані і список контактів, встановлювати бекдор, генерувати фейковий відгуки, нав’язливо показувати рекламу, йдеться у звіті Trend Micro.

Для обходу захисту Google Play автори Joker застосовують різні хитрощі, вносячи зміни в код. Так, два роки тому дослідники з Trend Micro виявили, що троян почав ховати корисне навантаження на GitHub.

Аналіз заражених програм, знайдених цього року, показав, що “шкідник” почав звертатися до C2-сервера, використовуючи можливості Google-платформи Firebase.

Таку поведінку демонстрували такі додатки (вже вилучені з магазину):

• com.daynight.keyboard.wallpaper (Keyboard Wallpaper)
• com.pip.editor.camera2021 (PIP Photo Maker 2 021)
• com.light.super.flashlight (Flashlight)
• com.super.color.hairdryer (Sound Prank Hair Clipper, Fart, Crack Screen Prank)
• com.super.star.ringtones (Pop Ringtones)
• org.my.favorites.up.keypaper
• com.hit.camera.pip
• com.ce1ab3.app.photo.editor
• cool.girly.wallpaper (SubscribeSDK; знайдений на VirusTotal)
• com.photo.modify.editor (Picture Editor)
• com.better.camera.pip (PIP camera – Photo Editor)
• com.face.editor.photo (Photo Editor)
• com.background.wallpaper.keyboard (Keyboard Wallpaper)

Як виявилося, автори Joker також змінили корисне навантаження і тепер використовують дроппер. Його код значно заплутаний, кожен рядок кодується за base64, а потім застосовується шифр AES. Ключ для розшифровки “шкідник” запитує з C2-сервера.

Примітно, що, потрапивши на пристрій, дроппер також збирає і відправляє своїм господарям метадані – інформацію про джерело посилання. Це навело дослідників на думку, що Google Play в даному випадку лише один з каналів поширення інфекції.

Після запуску основного модуля Joker збирає дані про заражений пристрій і номер телефону. Після цього він вивантажує з C2-сервера код JavaScript і URL преміум-сервісу, а також створює в Actibity контейнер WebView для завантаження цільової сторінки. Сценарій JavaScript при цьому використовується для автоматичного оформлення передплати.

Сайти, на користь яких працює Joker, знаходяться в різних регіонах і оформлені різними мовами – англійською, німецькою, португальською, іспанською, арабською, тайському. Деякі з них використовують CAPTCHA, але троян з успіхом її обходить.

Яким чином його оператори отримують вигоду від цієї поведінки, незрозуміло: всі ці преміум-сервіси не передбачають виплат за залучення передплатників. Однак власникам Joker, очевидно, це для чогось потрібно, раз вони так завзято прагнуть зберегти все присутність на Google Play.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Signal чи Telegram: який додаток кращий для чату?

Топ-7 альтернативних месенджерів на заміну WhatsApp

Як перевірити швидкість з’єднання на Вашому комп’ютері? ІНСТРУКЦІЯ

Обережно, фальшивка! Популярні схеми шахрайства з вакциною від COVID-19

Як перейти на приватну пошукову систему DuckDuckGo? – ІНСТРУКЦІЯ

Як позбутися WhatsApp на Android та iOS? – ІНСТРУКЦІЯ

Як анонімно користуватися Signal або Telegram? ПОРАДИ

Нагадаємо, сінгапурська технологічна компанія Smart Media4U Technology заявила про виправлення уразливостей у додатку SHAREit, які могли дозволити зловмисникам віддалено виконувати довільний код на пристроях користувачів. Помилки безпеки впливають на додаток компанії SHAREit для Android, додаток, який завантажили понад 1 мільярд разів.

Дослідники з компанії Red Canary знайшли нову шкідливу програму, розроблену для атак на комп’ютери Apple Mac. Він отримав назву Silver Sparrow і вже встиг заразити приблизно 30 тис. пристроїв у 153 країнах світу, включаючи США, Великобританію, Канаду, Францію і Німеччину.

Також фахівці у галузі кібербезпеки виявили новий метод атаки, що дозволяє зловмисникам “обдурити” термінал для оплати (POS-термінал) і змусити його думати, що безконтактна картка Mastercard насправді є картою Visa.

Як стало відомо, минулими вихідними стався витік діалогів деяких користувачів Clubhouse. Компанія запевнила, що заблокувала хакера і вживає додаткових заходів безпеки, але розраховувати на приватність і захищеність розмов в соцмережі не варто, попередили експерти.

До речі, нещодавно виявлена ​​фішингова кампанія відзначилася цікавим підходом до крадіжки облікових даних жертви: зловмисники використовують API популярного месенджера Telegram для створення шкідливих доменів.

Ця стаття Троян Joker знову проник до магазину додатків на Android раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Нещодавно Google видалив 17 додатків із Play Store, виявивши, що вони заражені шкідливим програмним забезпеченням Joker. Цей крок повинен допомогти запобігти появі нових інфекцій.

Якщо у вас є смартфон Android, Вам слід терміново перевірити, чи не встановлено вам будь-яку з наступних програм:

1. All Good PDF Scanner;
2. Mint Leaf Message-Your Private Message;
3. Unique Keyboard – Fancy Fonts & Free Emoticons;
4. Tangram App Lock;
5. Direct Messenger;
6. Private SMS;
7. One Sentence Translator – Multifunctional Translator;
8. Style Photo Collage;
9. Meticulous Scanner;
10. Desire Translate;
11. Talent Photo Editor – Blur focus;
12. Care Message;
13. Part Message;
14. Paper Doc Scanner;
15. Blue Scanner;
16. Hummingbird PDF Converter – Photo to PDF;
17. All Good PDF Scanner.

Якщо Ви використовуєте одну з цих програм, у Вас є серйозний ризик бути ошуканим – Ви повинні негайно видалити її.

Що вміє Джокер?

Після встановлення шкідливе програмне забезпечення Joker негайно починає шпигувати за Вашим телефоном, красти інформацію та віддалено відправляти її хакерам. Джокер копіює текстові повідомлення SMS та списки контактів, надаючи злочинцям конфіденційну особисту інформацію, яка може бути використана для викрадення особистих даних, шахрайства або запуску інших заходів зламу.

Що ще більше хвилює, Joker може автоматично реєструвати заражені пристрої для послуг преміум-протоколу бездротових додатків (WAP). Ці підписки можуть коштувати сотні євро на місяць – все виставляється на Ваш рахунок.

Як захиститися від Джокера?

Шкідливе програмне забезпечення Joker було розроблено таким чином, щоб його було надзвичайно важко виявити Google, саме тому ці заражені програми було успішно завантажено до Play Store. Команда безпеки Google видаляє заражені програми настільки швидко, наскільки вони виявляються, але є кілька речей, які Ви можете зробити, щоб захистити себе.

По-перше, завжди встановлюйте на свій смартфон антивірусне програмне забезпечення та регулярно перевіряйте наявність інфекцій.

По-друге, Вам потрібно буде приділити більше уваги тому, що насправді роблять програми на Вашому телефоні. Коли Ви запускаєте програму вперше, Android попереджає вас про те, що додаток намагається зробити. Додаток може вимагати доступу до Вашої камери, адресної книги, SMS-повідомлень тощо.

Коли Ви бачите ці підказки, запитайте себе: “Чи справді ця програма потребує доступу до моїх повідомлень або адресної книги?” Додаток може стверджувати, що доступ до повідомлень потрібен, наприклад, для спільного використання Ваших фотографій, але Ви завжди можете зберегти їх у вбудованому додатку Google Фото та надіслати звідти.

І чи справді Вам потрібен “спеціальний” додаток для обміну повідомленнями? SMS, WhatsApp, Facebook Messenger, Telegram безпечні та популярні – і вони також не заражені шкідливим програмним забезпеченням.

Завжди читайте повідомлення

Завжди витрачайте кілька секунд, щоб прочитати будь-які сповіщення під час встановлення програм, оскільки вони часто виявляють щось несподіване і небажане. Якщо Ви не впевнені або у Вас є якісь сумніви, просто відхиліть запит або повністю видаліть програму.

Джокер – надзвичайно розумна шкідлива програма, яка уразила тисячі пристроїв. Однак, дотримуючись наведених тут порад, Ви можете зменшити шанси стати жертвою кіберзлочинців.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Шахрайство, оманливий дизайн, або як торгові сайти змушують Вас витрачати більше?

Найпоширеніші схеми кіберзлочинців та способи захисту від них. Поради

Як користуватися спеціальними піктограмами програм на Вашому iPhone та iPad? – ІНСТРУКЦІЯ

Як перемістити програми з бібліотеки додатків на головний екран на iPhone?– ІНСТРУКЦІЯ

Чим Вам загрожує підключення невідомих USB? Поради із захисту

Як зробити Chrome веб-браузером за замовчуванням на iPhone та iPad? – ІНСТРУКЦІЯ

Кібератаки та шкідливі програми – одна з найбільших загроз в Інтернеті. Дізнайтеся з підбірки статей, як виникло шкідливе програмне забезпечення та які є його види, що таке комп’ютерний вірус, про усі види шкідливого ПЗ тощо.

До речі, дослідники розкрили подробиці про критичну уразливість в додатку Instagram для Android, експлуатація якої дозволяла віддаленим зловмисникам перехопити контроль над цільовим пристроєм шляхом відправки спеціально створеного зображення.

Цікаво знати, що кіберполіція затримала злочинну групу, яка за допомогою скімінгових пристроїв виготовляла дублікати банківських карток. Далі з цих карток знімали готівку. За це зловмисникам загрожує до 12 років ув’язнення.

Також після додавання до свого функціоналу аудіо-твітів для iOS у червні, Twitter зараз експериментує з ідеєю дозволити людям записувати та надсилати голосові повідомлення за допомогою прямих повідомлень.

Важливо знати, що хакерам вдалося обійти захист iOS 14 на пристроях, що базуються на процесорі Apple A9.

Ця стаття Joker Malware: що вміє шкідливе ПЗ та як захиститися? раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Це шпигунське ПЗ призначене для крадіжки SMS-повідомлень, списків контактів та інформації про пристрої, а також для прихованої підписки жертви на преміальні послуги протоколу бездротової передачі даних.

Були вилучені наступні заражені програми:

• All Good PDF Scanner;
• Mint Leaf Message-Your Private Message;
• Unique Keyboard – Fancy Fonts & Free Emoticons;
• Tangram App Lock;
• Direct Messenger;
• Private SMS;
• One Sentence Translator – Multifunctional Translator;
• Style Photo Collage;
• Meticulous Scanner;
• Desire Translate;
• Talent Photo Editor – Blur focus;
• Care Message;
• Part Message;
• Paper Doc Scanner;
• Blue Scanner;
• Hummingbird PDF Converter – Photo to PDF;
• All Good PDF Scanner.

Google видалила додатки з Play Store, а також використовувала службу Play Protect для відключення додатків на заражених пристроях. Однак користувачам як і раніше необхідно вручну видалити додатки з своїх пристроїв.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Шахрайство, оманливий дизайн, або як торгові сайти змушують Вас витрачати більше?

Найпоширеніші схеми кіберзлочинців та способи захисту від них. Поради

Як користуватися спеціальними піктограмами програм на Вашому iPhone та iPad? – ІНСТРУКЦІЯ

Як перемістити програми з бібліотеки додатків на головний екран на iPhone?– ІНСТРУКЦІЯ

Чим Вам загрожує підключення невідомих USB? Поради із захисту

Як зробити Chrome веб-браузером за замовчуванням на iPhone та iPad? – ІНСТРУКЦІЯ

Кібератаки та шкідливі програми – одна з найбільших загроз в Інтернеті. Дізнайтеся з підбірки статей, як виникло шкідливе програмне забезпечення та які є його види, що таке комп’ютерний вірус, про усі види шкідливого ПЗ тощо.

До речі, дослідники розкрили подробиці про критичну уразливість в додатку Instagram для Android, експлуатація якої дозволяла віддаленим зловмисникам перехопити контроль над цільовим пристроєм шляхом відправки спеціально створеного зображення.

Цікаво знати, що кіберполіція затримала злочинну групу, яка за допомогою скімінгових пристроїв виготовляла дублікати банківських карток. Далі з цих карток знімали готівку. За це зловмисникам загрожує до 12 років ув’язнення.

Також після додавання до свого функціоналу аудіо-твітів для iOS у червні, Twitter зараз експериментує з ідеєю дозволити людям записувати та надсилати голосові повідомлення за допомогою прямих повідомлень.

Важливо знати, що хакерам вдалося обійти захист iOS 14 на пристроях, що базуються на процесорі Apple A9.

Уразливість BLURtooth можуть використовувати хакери для перезапису ключів аутентифікації Bluetooth. За допомогою уразливості BLURtooth зловмисник може маніпулювати компонентом CTKD для перезапису ключів аутентифікації Bluetooth і таким чином отримати доступ до підтримуючих Bluetooth сервісів і додатків на тому ж пристрої.

Ця стаття З Google Play Store видалили 17 Android-додатків із шкідливим ПЗ Joker раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Дослідники безпеки з компанії Check Point виявили нову версію шкідливого ПЗ Joker (також відомого як Bread), яке поширюється під виглядом легітимних мобільних додатків для Android і оформляє підписки на платні послуги без відома користувачів.

За словами експертів, операторам Joker вдалося знайти ще один спосіб обійти захист Google Play Store – вони приховують шкідливий виконуваний файл DEX всередині програми у вигляді закодованих в Base64 рядків, які потім декодуються і завантажуються на скомпрометований пристрій.

Спочатку код, який відповідав за зв’язок з C&C-сервером і завантаження файлу dex, знаходився всередині основного файлу classes.dex, але тепер функціональність вихідного файлу classes.dex включає завантаження нового корисного навантаження. Joker створює новий об’єкт, який зв’язується з C&C-сервером. Після підтвердження він може підготувати процес завантаження шкідливого модуля.

Для завантаження файлу dex використовувався метод читання його з файлу маніфесту. Під час перевірки файлу маніфесту експерти виявили інше поле метаданих, яке містило закодований в Base64 dex-файл. Таким чином, досить було прочитати дані з файлу маніфесту, декодувати корисне навантаження і завантажити новий файл dex.

Фахівці в ході дослідження також виявили “проміжний” варіант, в якому використовувалася техніка приховування файлу .dex у вигляді закодованих у Base64 рядків, але замість додавання рядків в файл маніфесту вони розташовувалися у внутрішньому класі основного додатка. У такому випадку для запуску шкідливого коду досить було прочитати рядки, декодувати їх і завантажити з відображенням.

За словами експертів, для здійснення підписки користувачів на послуги преміум-класу без їх відома, Joker використовував два основних компоненти -Notification Listener в якості частини оригінальну програму і динамічний файл dex, завантажений з C&C-сервера для виконання реєстрації.

Нагадаємо, що кампанія із шкідливим програмним забезпеченням в 2019 році встигла проникнути в офіційний магазин Google Play, щоб розгорнути троян Joker на пристроях Android. Шкідник створював обманну рекламу та підписував користувачів на платні сервіси мобільних операторів без їхнього відома.

Вперше шкідливе ПЗ було виявлене в 2017 році, Joker є одним з найбільш поширених видів шкідливих програм для Android, що дозволяє своїм операторам виконувати шахрайські дії з платежами і володіє можливостями шпигунського ПЗ, включаючи викрадення SMS-повідомлень, контактів та інформації про пристрій.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ

ПОРАДИ ЩОДО ОРГАНІЗАЦІЇ СВОЇХ ДОДАТКІВ ДЛЯ IPHONE АБО IPAD

ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ

НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?

ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ

Ноутбук та рідина – це погана комбінація, але трапляються випадки, коли вони все ж таки “об’єднуються”. Про те, що робити, якщо це сталося, читайте у статті.

Також після тестування стало відомо, що надзвичайно популярний сьогодні додаток – TikTok, зберігає вміст буфера обміну кожні кілька натискань клавіш. Цей факт насторожив багатьох користувачів, але TikTok лише один із 53 додатків, які зберігають інформацію про користувачів таким чином.

Стало відомо, що мешканець Житомирщини підмінив міжнародного мобільного трафіку на понад півмільйона гривень. Крім цього, встановлено інші злочинні осередки які здійснюють підміну міжнародного трафіку в різних регіонах країни.

До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.

Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.

Ця стаття Через Google Play Store знову поширюється небезпечне ПЗ раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Нова кампанія із шкідливим програмним забезпеченням встигла проникнути в офіційний магазин Google Play, щоб розгорнути троян Joker на пристроях Android. Шкідник створює обманну рекламу та підписує користувачів на платні сервіси мобільних операторів без їхнього відома. Про це повідомляють на ZDnet.

Минулого тижня дослідник з безпеки Алексеїс Купрінс із розвідувальної фірми у галузі кібербезпеки CSIS Security Group заявив, що в останні тижні помічено сплеск шкідливої ​​активності, в ході розслідування якої було знайдено щонайменше 24 додатки Android, що містять зловмисне програмне забезпечення.

Зловмисні програми містили кампанію, що розповсюджували троян Joker. Його ідентифікували за іменем, яке посилається на одне з доменних імен, підключених до сервера команд і управління (C2) оператора. Joker не проявляється відкрито на заражених пристроях, використовуючи якомога менше JavaScript-коду і блокуючи деякі частини свого коду за допомогою технік обфускації. У багатьох випадках зловмисне програмне забезпечення було інтегровано в рекламні рамки, пов’язані з шкідливими програмами.

Зловмисний код містить звичайний список троянських функцій, включаючи крадіжку SMS-повідомлень, контактної інформацію та даних пристрою, і постійно обмінюється даними з сервером С2. Але розробники Joker пішли далі, намагаючись зробити так, щоб вірус міг отримати прибуток для свого оператора шляхом шахрайської рекламної діяльності.

Joker може взаємодіяти з рекламними мережами та веб-сайтами, імітуючи кліки та мовчки підписуючи жертв на платні послуги. В одному прикладі, Joker зареєстрував користувачів у Данії  на преміум-сервіс, який коштував приблизно 7 євро на тиждень, імітуючи кліки на веб-сайті, автоматично вводячи коди пропозицій оператора та витягуючи коди підтвердження з SMS-повідомлень, відправлених на цільовий пристрій. Потім ці коди надсилаються на веб-сайт з рекламою для завершення процесу. В інших випадках шкідник може просто надсилати SMS-повідомлення на платні номери.

Кожна шахрайська “робота” управляється командами від C2, і як тільки реєстрація на платному сервісі буде завершена, Joker надсилає відповідь на сервер C2 та чекає подальших інструкцій.

Оператори Joker орієнтуються на 37 конкретних країн-цілей, включаючи Китай, Великобританію, Німеччину, Францію, Сінгапур та Австралію. Багато заражених додатків, знайдених дослідниками, містять перелік кодів мобільних країн (MCC), а SIM-карта на інфікованому пристрої має  відповідати  MCC для виконання Joker. Більшість цих програм не розгортають зловмисне програмне забезпечення, якщо користувачі перебувають у США, Канаді чи іншій країні, якої нема в списку, однак, декілька з цих  програм-носіїв не містять жодних державних обмежень.

Стосовно приналежності Joker до конкретної країни чи хакерської групи, то нічого не встановлено з 100% точністю, але інтерфейс панелі адміністрування C2 та деякі  елементи коду бота вказують на те, що розробники зловмисного програмного забезпечення могли бути китайцями.

Хоча кількість встановлень заражених додатків відносно велика, проте, не потребуючи розголошення дослідниками, Google виявив і видалив практично усі шкідливі програми з Joker з Google Play. Зловмисне програмне забезпечення, що проникає в офіційні сховища додатків, є постійною проблемою, але в цьому випадку група безпеки CSIS стверджує, що технічний гігант “здається, слідкує за цією загрозою, наскільки це можливо”.

До речі, браузер Google Chrome – швидкий, зручний та функціональний. За це його люблять, не зважаючи навіть на серйозні недоліки – такі, як найвища витрата пам’яті та процесора. З цієї статті Ви дізнаєтесь, як з цим боротися.

Нагадаємо, дослідники з SEC Consult виявили низку уразливостей в різних пристроях великого виробника мережевого устаткування Zyxel.

Також мільярди користувачів Android-пристроїв знаходяться під загрозою кібератак. За допомогою лише одного  SMS-повідомлення зловмисник може обманом змусити користувача змінити критично важливі мережеві налаштування пристрою і викрадати його дані.

Стало відомо, Huawei готова надати іншим державам доступ до своїх вихідних кодів, для того щоб вони могли особисто переконатися у відсутності в них будь-яких бекдорів. Про це у вівторок, 3 вересня, заявив старший віце-президент компанії Джон Саффолк (John Suffolk) журналістам інформагентства Kyodo News.

Окрім цього, Apple визнала конструктивний недолік у деяких моделях Apple Watch, що може призвести до розтріскування екрана, і запустила програму заміни для постраждалих користувачів. Apple або уповноважені постачальники послуг безкоштовно замінять екран на відповідних моделях.

Twitter на невизначений термін відключила функцію Tweet via SMS, що дозволяє робити публікації в соціальній мережі через SMS-повідомлення. Причиною цього рішення став той факт, що кіберзлочинці скористалися Tweet via SMS для публікацій від імені як мінімум двох ключових фігур в Twitter.

Ця стаття Шкідник Joker розповсюджується через Google Play раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим