Ismét megfektette a Google védelmét a Joker vírus

A Joker nevű, androidos kártékony program készítői megint túljártak a Google eszén, és ismét sikerült a hivatalos alkalmazásáruházba nemkívánatos appokat bejuttatniuk.
 

Az androidos készülékekre veszélyt jelentő Joker trójai nem egy új szerzemény. Először 2017-ben hívta fel magára a figyelmet, amikor a Play áruházban olyan alkalmazásokba rejtve jelent meg, amelyek a háttérben SMS-alapú csalásokat hajtottak végre, azaz alkalmasak voltak a felhasználók megkárosítására. A Google idén januárban jelezte, hogy 2017 óta körülbelül 1700 app esetében mutatta ki a Joker kódját. Ezeket az alkalmazásokat természetesen eltávolította az áruházából, de ezzel még nem ért véget a küzdelem.
 
Ismét színre lépett a kártevő
 
A Google az évek során sokat fejlesztett, illetve szigorított a Play áruház védelmén. Ezért napjainkban a Joker eredeti trükkjei már nem lennének alkalmasak a Play védelmi mechanizmusainak megkerülésére. Ugyanakkor a károkozó legújabb variánsa már nem is az SMS-es csalásokat forszírozza, hanem inkább a mobilfizetésekben rejlő lehetőséget igyekszik a saját - pontosabban a terjesztői - javára fordítani. (A Google Play Protect napjainkban már nagyon ügyel a SEND_SMS engedély használatára, illetve annak korlátozására.)
 
A Joker új variánsát egyebek mellett a Check Point biztonsági kutatói is vizsgálták, akik elmondták, hogy a szerzemény hamis alkalmazások révén próbálja rávenni a gyanútlan felhasználókat arra, hogy fizessenek elő különféle szolgáltatásokra, tartalmakra.
 
Megkerülős csel
 
Az új Joker eddig 11 különféle alkalmazásban bukkant fel, és úgy jut át a Play védelmén, mint kés a vajon. Mindezt több módszer alkalmazásával éri el. Ezek közül a legfontosabb, hogy a károkozáshoz használt (payload) kódját az AndroidManifest állományban helyezi el Base64 kódolással. Amikor felkerül egy készülékre, akkor ezt a kódot még nem használja fel, hanem vár egy bizonyos ideig, és addig semmi gyanúsat, károsat nem tesz. Majd - anélkül, hogy távoli kiszolgálókról kellene letöltenie az ártalmas kódjait - az említett állományból kiolvassa és dekódolja a károkozáshoz szükséges összetevőit. Végül pedig elkezdi a megtévesztő ténykedését.
 
A Check Point a felfedezését már korábban jelezte a Google illetékesei számára, akik a fertőzött appokat eltávolították a Playről. Ezek a következő csomagokat érintették:
  • com.imagecompress.android
  • com.contact.withme.texts
  • com.hmvoice.friendsms
  • com.relax.relaxation.androidsms
  • com.cheery.message.sendsms
  • com.cheery.message.sendsms
  • com.peason.lovinglovemessage
  • com.file.recovefiles
  • com.LPlocker.lockapps
  • com.remindme.alram
  • com.training.memorygame
 
A Check Point a hasonló károkozók kockázatainak csökkentése érdekében a körültekintő alkalmazástelepítést, valamint a mobilbiztonsági szoftverek használatát javasolta. Emellett azok számára, akik már összefutottak a Jokerrel, azt tanácsolta, hogy távolítsák el a problémás appokat, és ellenőrizzék a bankszámlájukat.
Vélemények
 
  1. 3

    Az Oracle VirtualBoxhoz hét biztonsági hibajavítás vált elérhetővé.

  2. 4

    Az Adobe kritikus veszélyességű hibákat javított az Adobe Illustrator szoftverében.

  3. 1

    A Rozena.XM trójai kártékony programokkal halmozza el a fertőzött számítógépeket.

 
Partnerhírek
Androidon terjedő kémprogramot fedeztek fel az ESET kutatói

Egy androidos kémprogram új verzióját kezdték vizsgálni az ESET kutatói, amely mögött az APT-C-23 nevű, 2017 óta főként a Közel-Keleten aktív, hírhedten veszélyes bűnözői csoport áll.

​Az ESET egy globális művelet keretében harcol a Trickbot ellen

Az ESET kutatói is részt vesznek abban a globális összefogásban, amelynek célja a Trickbot megállítása, amely 2016-os működése óta több mint egymillió számítógépet fertőzött meg.

hirdetés
Közösség