Οι ερευνητές ασφαλείας της Check Point αναφέρουν πως το
Joker, το κακόβουλο λογισμικό που πραγματοποιεί απάτες χρεώνοντας τους χρήστες,
συνεχίζει να παρακάμπτει τα φίλτρα προστασίας του Google Play Store.
Joker, το κακόβουλο λογισμικό που πραγματοποιεί απάτες χρεώνοντας τους χρήστες,
συνεχίζει να παρακάμπτει τα φίλτρα προστασίας του Google Play Store.
Το malware που εντοπίστηκε για πρώτη φορά το 2017,
λειτουργεί ως spyware και ως premium dialer ενώ μπορεί να έχει πρόσβαση σε
ειδοποιήσεις, να διαβάζει αλλά και να στέλνει SMS. Το Joker αξιοποιεί τις
συγκεκριμένες δυνατότητες για να «εγγράφει» κρυφά τα θύματα σε premium
υπηρεσίες. Η Google περιέγραψε το Joker ως μία από τις πιο επίμονες απειλές που
αντιμετώπισε τα τελευταία χρόνια, δηλώνοντας ότι «χρησιμοποιεί σχεδόν κάθε
τεχνική απόκρυψης για να μην εντοπίζεται».
λειτουργεί ως spyware και ως premium dialer ενώ μπορεί να έχει πρόσβαση σε
ειδοποιήσεις, να διαβάζει αλλά και να στέλνει SMS. Το Joker αξιοποιεί τις
συγκεκριμένες δυνατότητες για να «εγγράφει» κρυφά τα θύματα σε premium
υπηρεσίες. Η Google περιέγραψε το Joker ως μία από τις πιο επίμονες απειλές που
αντιμετώπισε τα τελευταία χρόνια, δηλώνοντας ότι «χρησιμοποιεί σχεδόν κάθε
τεχνική απόκρυψης για να μην εντοπίζεται».
Οι ερευνητές ασφαλείας της Check Point εντόπισαν μια νέα
μέθοδο που χρησιμοποιεί το συγκεκριμένο κακόβουλο λογισμικό. Αυτή τη φορά, το
Joker κρύβει κακόβουλο κώδικα μέσα στο αρχείο «Android Manifest» μιας νόμιμης
εφαρμογής. Στο root directory κάθε εφαρμογής πρέπει να εμφανίζεται πάντα ένα
αρχείο Android Manifest. Το αρχείο manifest παρέχει στο σύστημα Android βασικές
πληροφορίες για την εφαρμογή, τις οποίες πρέπει να διαθέτει το σύστημα προτού
εκτελέσει οποιονδήποτε κώδικά της, όπως όνομα, εικονίδιο και δικαιώματα.
μέθοδο που χρησιμοποιεί το συγκεκριμένο κακόβουλο λογισμικό. Αυτή τη φορά, το
Joker κρύβει κακόβουλο κώδικα μέσα στο αρχείο «Android Manifest» μιας νόμιμης
εφαρμογής. Στο root directory κάθε εφαρμογής πρέπει να εμφανίζεται πάντα ένα
αρχείο Android Manifest. Το αρχείο manifest παρέχει στο σύστημα Android βασικές
πληροφορίες για την εφαρμογή, τις οποίες πρέπει να διαθέτει το σύστημα προτού
εκτελέσει οποιονδήποτε κώδικά της, όπως όνομα, εικονίδιο και δικαιώματα.
Με αυτόν τον τρόπο, το κακόβουλο λογισμικό δεν χρειάζεται
να έρθει σε επαφή με ένα server C&C (διακομιστή εντολών και ελέγχου),
δηλαδή με έναν υπολογιστή που ελέγχεται από κάποιον εγκληματία στον
κυβερνοχώρο. Οι συγκεκριμένοι servers χρησιμοποιούνται για την αποστολή εντολών
σε συστήματα που έχουν παραβιαστεί από κακόβουλο λογισμικό, για τη λήψη του
μέρους του κακόβουλου λογισμικού που στη συνέχεια εκτελεί την κακόβουλη
ενέργεια.
να έρθει σε επαφή με ένα server C&C (διακομιστή εντολών και ελέγχου),
δηλαδή με έναν υπολογιστή που ελέγχεται από κάποιον εγκληματία στον
κυβερνοχώρο. Οι συγκεκριμένοι servers χρησιμοποιούνται για την αποστολή εντολών
σε συστήματα που έχουν παραβιαστεί από κακόβουλο λογισμικό, για τη λήψη του
μέρους του κακόβουλου λογισμικού που στη συνέχεια εκτελεί την κακόβουλη
ενέργεια.
Οι ερευνητές ασφαλείας της Check Point περιέγραψαν τη νέα
μέθοδο που αξιοποιεί το Joker σε τρία βήματα:
μέθοδο που αξιοποιεί το Joker σε τρία βήματα:
Δημιουργία payload. To Joker δημιουργεί εκ των προτέρων
το payload, εισάγοντας το στο Android Manifest File.
το payload, εισάγοντας το στο Android Manifest File.
Παράβλεψη φόρτωσης payload. Κατά τη διάρκεια της
αξιολόγησης, το Joker δεν προσπαθεί να φορτώσει το κακόβουλο payload γεγονός
που καθιστά πολύ πιο εύκολο το να παρακάμψει τα μέτρα/φίλτρα προστασίας του
Google Play Store.
αξιολόγησης, το Joker δεν προσπαθεί να φορτώσει το κακόβουλο payload γεγονός
που καθιστά πολύ πιο εύκολο το να παρακάμψει τα μέτρα/φίλτρα προστασίας του
Google Play Store.
Διάδοση κακόβουλου λογισμικού. Μετά την περίοδο
αξιολόγησης και αφού έχει εγκριθεί, η καμπάνια εκτελείται, και το payload
“φορτώνεται”.
αξιολόγησης και αφού έχει εγκριθεί, η καμπάνια εκτελείται, και το payload
“φορτώνεται”.
Οι ερευνητές ασφαλείας της Check Point παρουσίασαν τα
ευρήματά της έρευνάς τους στην Google. Όλες οι αναφερόμενες εφαρμογές (11)
αφαιρέθηκαν από το Play Store έως τις 30 Απριλίου 2020.
ευρήματά της έρευνάς τους στην Google. Όλες οι αναφερόμενες εφαρμογές (11)
αφαιρέθηκαν από το Play Store έως τις 30 Απριλίου 2020.
Πώς να παραμείνετε προστατευμένοι
Εάν υποψιάζεστε ότι ενδέχεται να έχετε εγκαταστήσει στη
συσκευή σας μια από τις μολυσμένες εφαρμογές, ακολουθήστε τα παρακάτω βήματα:
συσκευή σας μια από τις μολυσμένες εφαρμογές, ακολουθήστε τα παρακάτω βήματα:
Καταργήστε την εγκατάσταση της μολυσμένης εφαρμογής από
τη συσκευή
τη συσκευή
Ελέγξτε τους λογαριασμούς κινητής τηλεφωνίας και πιστωτικών
καρτών για να δείτε εάν έχετε εγγραφεί σε οποιαδήποτε συνδρομητική υπηρεσία και
καταργήστε την εγγραφή εφόσον αυτό είναι δυνατόν
καρτών για να δείτε εάν έχετε εγγραφεί σε οποιαδήποτε συνδρομητική υπηρεσία και
καταργήστε την εγγραφή εφόσον αυτό είναι δυνατόν
Εγκαταστήστε μια λύση ασφαλείας για την προστασία από
μελλοντικές μολύνσεων
μελλοντικές μολύνσεων
Η λίστα με τις
εφαρμογές:
εφαρμογές:
Πηγή: techgear.gr
