Спецпроекты

Вредоносное ПО Joker снова обошло защиту Google Play Store

Безопасность Пользователю Мобильность

Команда исследователей Check Point Research, подразделение Check Point Software Technologies рассказала о том, как печально известное вредоносное ПО Joker уходит от защитных мер Google Play Store. Впервые его обнаружили в 2017 году: это шпионское ПО может получить доступ к уведомлениям, читать и отправлять SMS-сообщения. Joker использует эти возможности для незаметной подписки жертв на платные услуги. Google характеризует это вредоносное ПО как постоянную угрозу, с которой он сталкивался в течение последних нескольких лет. По словам Google, Joker попробовал почти каждую технику маскировки, чтобы остаться незамеченным.

Недавно исследователь Check Point Авиран Хазум раскрыл новый метод использования Joker. На этот раз вредоносная программа Joker скрывает вредоносный код внутри файла манифест Android в легитимных приложениях. Файл манифеста содержится в корневой папке каждого приложения, он предоставляет важную информацию о приложении, которая требуется системе Android: имя, значок и разрешения для системы Android. Только получив эту информацию, система может выполнить какой-либо код приложения. Таким образом, вредоносному ПО не требуется доступ к C&C-серверу, который контролируется киберпреступниками. Обычно этот сервер используется для отправки команд зараженным системам, которые уже скомпрометированы вредоносным ПО для загрузки полезной нагрузки –– той части вредоносного ПО, которая выполняет основную работу.

Новый метод применения Joker можно разбить на три этапа.

Создание полезной нагрузки. Joker заранее создает полезную нагрузку, вставляя ее в файл манифеста Android. Отсрочка загрузки полезной нагрузки. Во время оценивания Joker даже не пытается загрузить вредоносную полезную нагрузку –– это значительно облегчает обход средств защиты Google Play Store. Распространение вредоносного ПО. После того, как службы безопасности Google Play Storeодобрят приложение, начинает работать вредоносная кампания –– полезная нагрузка определяется и загружается.

Исследователи Check Point ответственно раскрыли свои выводы в Google. Все заявленные приложения (11 приложений) были удалены из Play Store к 30 апреля 2020 года.

«Joker все время меняется, приспосабливаясь к новым условиям. Мы обнаружили, что он скрывается в файле с необходимой информацией, файле, который содержится в каждом Android-приложении, –– сказал Авиран Хазум, специалист по мобильным исследованиям CheckPoint Software Technologies. –– Наши последние исследования показывают, что защиты Google Play Store недостаточно. Мы еженедельно выявляли многочисленные случаи загрузки Joker в Google Play –– каждая из которых была произведена ничего не подозревающими пользователями. Вредоносное ПО Joker сложно обнаружить, несмотря на инвестиции Google в средства защиты Play Store. Хотя сейчас Google удалил вредоносные приложения из Play Store, можно предположить, что Joker снова вернется. Каждому пользователю желательно знать об этой программе и понимать, как можно от нее пострадать».

При подозрении на одно из зараженных приложений, нужно удалить приложение с устройства, проверить все счета: баланс сотового оператора, кредитные карты. Установить решение безопасности, чтобы предотвратить дальнейшие заражения.