Ismét megfektette a Google védelmét a Joker vírus

A Joker nevű, androidos kártékony program készítői megint túljártak a Google eszén, és ismét sikerült a hivatalos alkalmazásáruházba nemkívánatos appokat bejuttatniuk.
 

Az androidos készülékekre veszélyt jelentő Joker trójai nem egy új szerzemény. Először 2017-ben hívta fel magára a figyelmet, amikor a Play áruházban olyan alkalmazásokba rejtve jelent meg, amelyek a háttérben SMS-alapú csalásokat hajtottak végre, azaz alkalmasak voltak a felhasználók megkárosítására. A Google idén januárban jelezte, hogy 2017 óta körülbelül 1700 app esetében mutatta ki a Joker kódját. Ezeket az alkalmazásokat természetesen eltávolította az áruházából, de ezzel még nem ért véget a küzdelem.
 
Ismét színre lépett a kártevő
 
A Google az évek során sokat fejlesztett, illetve szigorított a Play áruház védelmén. Ezért napjainkban a Joker eredeti trükkjei már nem lennének alkalmasak a Play védelmi mechanizmusainak megkerülésére. Ugyanakkor a károkozó legújabb variánsa már nem is az SMS-es csalásokat forszírozza, hanem inkább a mobilfizetésekben rejlő lehetőséget igyekszik a saját - pontosabban a terjesztői - javára fordítani. (A Google Play Protect napjainkban már nagyon ügyel a SEND_SMS engedély használatára, illetve annak korlátozására.)
 
A Joker új variánsát egyebek mellett a Check Point biztonsági kutatói is vizsgálták, akik elmondták, hogy a szerzemény hamis alkalmazások révén próbálja rávenni a gyanútlan felhasználókat arra, hogy fizessenek elő különféle szolgáltatásokra, tartalmakra.
 
Megkerülős csel
 
Az új Joker eddig 11 különféle alkalmazásban bukkant fel, és úgy jut át a Play védelmén, mint kés a vajon. Mindezt több módszer alkalmazásával éri el. Ezek közül a legfontosabb, hogy a károkozáshoz használt (payload) kódját az AndroidManifest állományban helyezi el Base64 kódolással. Amikor felkerül egy készülékre, akkor ezt a kódot még nem használja fel, hanem vár egy bizonyos ideig, és addig semmi gyanúsat, károsat nem tesz. Majd - anélkül, hogy távoli kiszolgálókról kellene letöltenie az ártalmas kódjait - az említett állományból kiolvassa és dekódolja a károkozáshoz szükséges összetevőit. Végül pedig elkezdi a megtévesztő ténykedését.
 
A Check Point a felfedezését már korábban jelezte a Google illetékesei számára, akik a fertőzött appokat eltávolították a Playről. Ezek a következő csomagokat érintették:

• com.imagecompress.android
• com.contact.withme.texts
• com.hmvoice.friendsms
• com.relax.relaxation.androidsms
• com.cheery.message.sendsms
• com.cheery.message.sendsms
• com.peason.lovinglovemessage
• com.file.recovefiles
• com.LPlocker.lockapps
• com.remindme.alram
• com.training.memorygame

 
A Check Point a hasonló károkozók kockázatainak csökkentése érdekében a körültekintő alkalmazástelepítést, valamint a mobilbiztonsági szoftverek használatát javasolta. Emellett azok számára, akik már összefutottak a Jokerrel, azt tanácsolta, hogy távolítsák el a problémás appokat, és ellenőrizzék a bankszámlájukat.