Вредоносное ПО для Android, шутник по-прежнему обманывает защиту Google, найден новый кликер

Ионут Илашку
  • 21 февраля 2020 г.
  • 08:02
  • 0

Вредоносное ПО для Android, шутник по-прежнему обманывает защиту Google, найден новый кликер

Вредоносное ПО Joker, которое подписывает пользователей Android на премиум-сервисы без согласия, дает Google трудное время, поскольку новые образцы постоянно проходят проверку и попадают в Play Store.

Вредоносное ПО находится в постоянном развитии, и новые образцы, найденные в официальном репозитории Android, похоже, созданы специально для того, чтобы избежать механизмов обнаружения Google.

Также известное как «Хлеб», вредоносное ПО представляет собой шпионское ПО и премиум-номеронабиратель, которые могут получать доступ к уведомлениям, читать и отправлять SMS-сообщения. Эти возможности используются для незаметной подписки жертв на услуги премиум-класса.

Джокер избегает США и Канады

Исследователи из Check Point недавно обнаружили в Play Store четыре новых образца в приложениях с совокупным числом установок более 130 000. Вредонос был спрятан в программном обеспечении камеры, обоев, SMS и фоторедакторе:

  • com.app.reyflow.phote
  • com.race.mely.wpaper
  • com.landscape.camera.plus
  • com.vailsmsplus

Чтобы скрыть вредоносные функции в зараженных приложениях, к соответствующим строкам, которые проверяют наличие начальной полезной нагрузки, применяется простое шифрование XOR со статическим ключом; если он не существует, он загружается с командного и управляющего сервера (C2).

Вредоносное ПО не предназначено для устройств из США и Канады, так как Check Point обнаружила функцию, которая считывает информацию оператора специально для фильтрации этих регионов.

Если условия выполнены, Joker связывается со своим сервером C2, чтобы загрузить файл конфигурации, содержащий URL-адрес для другой полезной нагрузки, которая выполняется сразу после загрузки.

Читайте также

  • Китайский OLED iPhone показывает ближе, как Apple готовит BOE
    Возможно, мы приближаемся к тому, чтобы увидеть первые китайские OLED-дисплеи для iPhone. BOE, крупнейший китайский производитель мониторов, уже некоторое время преследует OLED-бизнес Apple, но еще не соответствует стандартам качества купертиновской ...
  • Как настроить Apple Pay на Iphone
    Как настроить Apple Wallet?Вы можете отказаться от обычных пластиковых картонов и оцифровать все данные. Просто знайте, как настроить свой Apple Wallet и как оплатить с помощью телефона.Что такое Apple Wallet?Apple Wallet - это предустановленное прил...
  • Зарядка iPhone не включается
    Айфон не включается: что делать [РЕШЕНИЯ]Как вы, наверное, знаете, iPhone и iPadГаражные работыВсе эти материалы могут быть ошибочными и зависать. Если ваш iPhone внезапно перестал включаться, вы попали в нужное место.В этой статье мы рассмотрим наиб...
  • Как перенести контакты из Windows в Android
    Как перенести контакты с Windows Phone на AndroidВажно, чтобы при смене мобильного устройства вы не теряли личную информацию, поэтому вопрос переноса контактов с Windows Phone на Android представляет интерес для пользователей. Вы можете копировать не...
  • Как обойти учетную запись Google Samsung Galaxy
    Как обойти проверку вашей учетной записи Google во время загрузкиРазработка Android. одна из главных целей Google. Среди множества новых функций мы хотим поговорить о новой программе безопасности, которая появилась на всех телефонах Android с версией...
  • Как Посмотреть Номера Сим На Айфоне
    Вы. Владелец iPhone Предположим, вы решили сменить телефон. На этом этапе возникает логичный вопрос: "Как скопировать контакты на SIM на iPhone?" Вы долго искали решение в меню телефона, но до сих пор не можете найти ответ. А все потому, чт...

«Имея доступ к прослушивателю уведомлений и возможность отправлять SMS, полезная нагрузка прослушивает входящие SMS и извлекает код подтверждения премиальной услуги (2FA) и отправляет его на« страницу предложения », чтобы подписать пользователя на эту премиальную услугу» , Пропускной пункт

Процесс подписки невидим для пользователя, так как URL-адреса для платных услуг, которые присутствуют в файле конфигурации, открываются в скрытом веб-просмотре.

Разработчик Joker часто адаптирует код, чтобы остаться незамеченным. Google говорит, что многие из образцов, наблюдаемых в дикой природе, по-видимому, были специально созданы для распространения через Play Store, поскольку их не видели в других местах.

Так как Google начал отслеживать Joker в начале 2017 года, компания удалила около 1700 зараженных приложений Play Store. Это не помешало автору вредоносного ПО, который «использовал почти каждую технику маскировки и запутывания под солнцем, пытаясь остаться незамеченным».

«В разное время мы видели три или более активных варианта, использующих разные подходы или предназначающихся для разных носителей. [.] В пиковые периоды активности мы видели до 23 разных приложений из этого семейства, представленных на Play за один день». Google

Новые образцы Joker появляются почти каждый день в Google Play Store, говорит Авиран Хазум, исследователь мобильной безопасности в Check Point.

Татьяна Шишкова, аналитик вредоносного ПО Android в «Касперском», пишет о приложениях с кодом Joker с октября 2019 года. Она перечислила более 70 скомпрометированных приложений, которые попали в Play Store, многие из которых имеют не менее 5000 установок, а некоторые. более 50 000.

Почти все они были удалены из хранилища. По крайней мере, три, на общую сумму более 21 000 установок, все еще присутствуют, как Шишкова показывает сегодня в твиттере:

Этими тремя приложениями являются Sweet Cam, Photo Collage Editor и Snap Message. Они перечислены под разными именами разработчиков и очень мало обзоров в среднем набрали три звезды.

Новый кликер в Play Store

Те же исследователи Check Point, Охад Мана, Исраэль Верник и Богдан Мельников, возглавляемые Авираном Хазумом, обнаружили новое семейство вредоносных программ для кликеров в восьми приложениях в Play Store, которые казались безобидными. В совокупности они имеют более 50 000 установок.

Читайте также

  • Как Сделать Скриншот На Samsung Edge
    Снимок экрана вашего телефона Android легко сделать, и во многих ситуациях скриншот может пригодиться, пожалуйста, поделитесь своим домашним экраном с друзьями или получите графическое подтверждение последней записи.Это руководство охватывает Samsung...
  • Как правильно зарядить iPhone с первого раза
    Как зарядить свой iPhoneЭто руководство было опубликовано в рамках проекта. Поддержка IPhones.ru. Написать на почту: нажмите на iphones.ru и получить решения проблем, связанных с работой и эксплуатацией устройств Apple.Вопросы для читателя: Как долго...
  • DOOM Eternal GeForce Game Ready Драйвер готовится к выходу игры
    NVIDIA выпустила новый драйвер GeForce Game Ready версии 442.74, оптимизированный для DOOM Eternal, релиз id Software запланирован на завтра на ПК (а также на консолях PlayStation 4 и Xbox One и в Google Stadia, а через него появится порт Nintendo Sw...
  • Как подключить беспроводные наушники Awei к телефону
    Как подключить беспроводные наушники Bluetooth к телефону за 1 минутуЧтобы подключить к телефону беспроводные наушники Bluetooth, необходимо подключить устройства через Bluetooth.. Подключите беспроводные наушники Bluetooth к любому телефону; Видео:...
  • Китайских офицеров обвиняют во взломе Equifax
    Энтони Спадафора 11 февраля 2020 г.Тем не менее, они вряд ли предстанут перед судом за свои предполагаемые преступленияМинистерство юстиции США обвинило четырех китайских военных в их причастности к взлому данных Equifax.Более 147 миллионов американц...
  • Samsung Galaxy S20 Это лучшие предзаказные предложения_1
    Вы можете выиграть приличную экономию в новой линейке Galaxy S20, но вам понадобится обмен на максимальную скидку.И если вы сделаете это, вы можете позволить себе купить его напрямую, а это значит, что вы сможете взять его у любого оператора, предлаг...

Целью кликера является мошенничество с рекламой, имитирующее клики пользователей на рекламные объявления. Мошенничество с мобильной рекламой в наши дни является постоянной проблемой, поскольку может принимать разные формы. За это нарушение Google объявил вчера, что он удалил почти 600 приложений из официального магазина Android, а также запретил их на своих платформах монетизации рекламы, Google AdMob и Google Ad Manager.

Новое вредоносное ПО, называемое Haken, использует собственный код и внедряется в библиотеки Facebook и AdMob и получает конфигурацию с удаленного сервера после прохождения проверки Google.

Вредоносное ПО присутствовало в приложениях, которые предоставляют заявленную функциональность, таких как приложение компаса. Один флаг, указывающий на злонамеренное намерение, запрашивает разрешения, которые не нужны скомпрометированному приложению, например, запуск кода при загрузке устройства.

Как только он получает необходимые разрешения, Хакен достигает своей цели, загружая собственную библиотеку (‘kagu-lib’) и регистрируя двух рабочих и таймер.

«Один сотрудник связывается с сервером CC, чтобы загрузить новую конфигурацию и обработать ее, в то время как другой запускается таймером, проверяет требования и внедряет код в классы« Связанные с рекламой »известных Ad-SDK, таких как Google AdMob и facebook». Пропускной пункт

Собственный код, вставка в легитимные Ad-SDK (набор для разработки программного обеспечения) и бэкдор-приложения, уже находящиеся в Play Store, позволили Haken оставаться в тени и получать доход от мошеннических рекламных кампаний.

Неясно, как долго выжило вредоносное ПО и какой доход оно получило, но низкий показатель установки указывает на небольшую цифру. Если они все еще присутствуют на их устройствах, пользователям рекомендуется удалить следующие приложения:

  • Детские раскраски. com.faber.kids.coloring
  • Компас. com.haken.compass
  • QR код. com.haken.qrcode
  • Книжка-раскраска с фруктами. com.vimotech.fruits.coloring.book
  • Футбольная книжка-раскраска. com.vimotech.soccer.coloring.book
  • Башня с фруктовыми прыжками. mobi.game.fruit.jump.tower
  • Ball Number Shooter. mobi.game.ball.number.shooter
  • Inongdan. com.vimotech.inongdan

Check Point сообщила Google о 12 вредоносных приложениях, найденных в Play Store, и они больше не доступны в хранилище.

Обновление [21.02.2020]: Статья обновлена ​​информацией о новых приложениях, содержащих троян Joker, которые в настоящее время доступны в магазине Play

You may also like