Ismét megfektette a Google védelmét a Joker vírus

A Joker nevű, androidos kártékony program készítői megint túljártak a Google eszén, és ismét sikerült a hivatalos alkalmazásáruházba nemkívánatos appokat bejuttatniuk.
 

Az androidos készülékekre veszélyt jelentő Joker trójai nem egy új szerzemény. Először 2017-ben hívta fel magára a figyelmet, amikor a Play áruházban olyan alkalmazásokba rejtve jelent meg, amelyek a háttérben SMS-alapú csalásokat hajtottak végre, azaz alkalmasak voltak a felhasználók megkárosítására. A Google idén januárban jelezte, hogy 2017 óta körülbelül 1700 app esetében mutatta ki a Joker kódját. Ezeket az alkalmazásokat természetesen eltávolította az áruházából, de ezzel még nem ért véget a küzdelem.
 
Ismét színre lépett a kártevő
 
A Google az évek során sokat fejlesztett, illetve szigorított a Play áruház védelmén. Ezért napjainkban a Joker eredeti trükkjei már nem lennének alkalmasak a Play védelmi mechanizmusainak megkerülésére. Ugyanakkor a károkozó legújabb variánsa már nem is az SMS-es csalásokat forszírozza, hanem inkább a mobilfizetésekben rejlő lehetőséget igyekszik a saját - pontosabban a terjesztői - javára fordítani. (A Google Play Protect napjainkban már nagyon ügyel a SEND_SMS engedély használatára, illetve annak korlátozására.)
 
A Joker új variánsát egyebek mellett a Check Point biztonsági kutatói is vizsgálták, akik elmondták, hogy a szerzemény hamis alkalmazások révén próbálja rávenni a gyanútlan felhasználókat arra, hogy fizessenek elő különféle szolgáltatásokra, tartalmakra.
 
Megkerülős csel
 
Az új Joker eddig 11 különféle alkalmazásban bukkant fel, és úgy jut át a Play védelmén, mint kés a vajon. Mindezt több módszer alkalmazásával éri el. Ezek közül a legfontosabb, hogy a károkozáshoz használt (payload) kódját az AndroidManifest állományban helyezi el Base64 kódolással. Amikor felkerül egy készülékre, akkor ezt a kódot még nem használja fel, hanem vár egy bizonyos ideig, és addig semmi gyanúsat, károsat nem tesz. Majd - anélkül, hogy távoli kiszolgálókról kellene letöltenie az ártalmas kódjait - az említett állományból kiolvassa és dekódolja a károkozáshoz szükséges összetevőit. Végül pedig elkezdi a megtévesztő ténykedését.
 
A Check Point a felfedezését már korábban jelezte a Google illetékesei számára, akik a fertőzött appokat eltávolították a Playről. Ezek a következő csomagokat érintették:
  • com.imagecompress.android
  • com.contact.withme.texts
  • com.hmvoice.friendsms
  • com.relax.relaxation.androidsms
  • com.cheery.message.sendsms
  • com.cheery.message.sendsms
  • com.peason.lovinglovemessage
  • com.file.recovefiles
  • com.LPlocker.lockapps
  • com.remindme.alram
  • com.training.memorygame
 
A Check Point a hasonló károkozók kockázatainak csökkentése érdekében a körültekintő alkalmazástelepítést, valamint a mobilbiztonsági szoftverek használatát javasolta. Emellett azok számára, akik már összefutottak a Jokerrel, azt tanácsolta, hogy távolítsák el a problémás appokat, és ellenőrizzék a bankszámlájukat.
Vélemények
 
  1. 4

    Az SQLite három biztonsági rés miatt szorul frissítésre.

  2. 3

    A GitLab fejlesztői két biztonsági rést foltoztak be.

  3. 1

    A Devilshadow trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Az ESET kutatói feltérképezték a katonai és diplomáciai célpontokat támadó InvisiMole csoport működését

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is.

​LinkedIn-en keresztül támadó hackereket lepleztek le az ESET kutatói

Álláshirdetésnek álcázott adathalász támadásokat lepleztek le az ESET kutatói, melyek vélhetően az észak- koreai illetőségű Lazarus csoporthoz köthetők.

hirdetés
Közösség