Mai virulentă, noua versiune de Joker poate afecta mult mai ușor utilizatorii neavizați.
Cercetătorii companiei de securitate cibernetică Check Point au descoperit o nouă versiune a Joker (aka Bread), program malițios care se răspândește sub forma unor aplicații legitime pentru Android și îi abonează pe utilizatori la diferite abonamente premium plătite, fără acceptul acestora. Componenta din background accesează anumite reclame din interiorul aplicaţiilor şi completează procesul de înregistrare pe site-urile către care dispozitivul este redirecţionat și accesează apoi automat mesajele victimei, utilizând codul de autorizare pentru verificarea plăţii.
Potrivit experților, operatorii Joker au reușit să găsească o altă modalitate de a ocoli protecția Google Play Store. Astfel, răufăcătorii ascund executabilul malițios DEX sub forma unor șiruri codate Base64. Aceste șiruri sunt ulterior decodate și descărcate pe dispozitivul compromis.
Inițial, codul responsabil pentru comunicarea cu serverul C&C și încărcarea fișierului dex se afla în fișierul principal classes.dex, dar acum, după “îmbunătățirile” aduse, funcționalitatea fișierului sursă classes.dex include încărcarea unei noi sarcini specifice. Sarcinile (payloads) fură date cu caracter personal și pot creea porți de acces pentru ca hackerii să poată controla în mod remote dispozitivul.
Conform specialiștilor de la Check Point, pentru a abona utilizatorii la servicii premium fără acceptul lor, Joker utilizează două componente principale – Notification Listener, ca parte a aplicației originale, și fișierul dinamic dex descărcat de pe serverul C&C, pentru completarea înregistrării la abonamentele nedorite.
Conform MITRE ATT&CK, cadru de tactici și tehnici utilizate pentru clasificarea atacurilor și evaluarea riscului unei organizații, posibilitățile Joker sunt următoarele:
Descoperit pentru prima oară în 2017, Joker este unul dintre cele mai frecvent întâlnite programe malițioase pentru Android și permite operatorilor săi să efectueze tranzacții și plăți frauduloase, având totodată capacitatea de a spiona activitatea userului, de a fura mesaje SMS sau lista de contacte și informațiile despre dispozitiv.
Specialiștii recomandă ștergerea imediată a următoarelor aplicații:
Advocate Wallpaper
Age Face
Altar Message
Antivirus Security – Security Scan
Beach Camera
Board picture editing
Certain Wallpaper
Climate SMS
Collate Face Scanner
Cute Camera
Dazzle Wallpaper
Declare Message
Display Camera
Great VPN
Humour Camera
Ignite Clean
Leaf Face Scanner
Mini Camera
Print Plant scan
Rapid Face Scanner
Reward Clean
Ruddy SMS
Soby Camera
Spark Wallpaper.