Virusul care face ravagii pe telefoanele cu Android: cum a trecut de securitatea Google

de: Ozana Mazilu
11 07. 2020

Cercetătorii în domeniul securității cibernetice au depistat o altă problemă de malware pe Android. A trecut de filtrele Google pentru Play Store cu o schemă destul de simplă.

Într-un raport publicat astăzi de Check Point Research, malware-ul denumit Joker a găsit un alt truc care să ocolească protecțiile Google Play Store. Creatorii l-au ascuns sub pretextul aplicațiilor legitime care abonau utilizatorii la servicii, fără cunoștința lor. În urma dezvăluirii de către cercetătorii de la Check Point, aplicațiile afectate au fost eliminate de Google din 30 aprilie 2020.

„Virusul Joker este dificil de detectat, în ciuda investițiilor Google în protecțiile de securitate pe Play Store„, a spus Aviran Hazum de la Check Point, care a identificat noul mod de operare al malware-ului Joker. „Deși Google a eliminat aplicațiile rău intenționate din Play Store, ne putem aștepta ca Joker să se adapteze din nou”, a adăugat acesta.

Joker, un virus cu istorie bogată pe Android

Descoperit pentru prima dată în 2017, Joker este unul dintre cele mai răspândite tipuri de malware pe Android. Schema prin care infractorii fac bani e simplă: fraudă la facturare. Dar virusul e folosit și pentru colectat SMS-uri, liste de contacte și alte informații de pe dispozitiv.

O serie de aplicații Android au fost infectate cu virusul, descoperite de CSIS Security Group, Trend Micro, Dr.Web și Kaspersky. Joker a exploatat în mod repetat modalități diferit de a trece de verificările de securitate Play Store.

Pentru a-și masca adevărata natură, autorii din spatele operațiunii au apelat la o varietate de metode – criptarea pentru a ascunde șirurile din motoarele de analiză, recenzii false pentru a atrage utilizatorii să descarce aplicațiile și o tehnică numită “versioning”, care se referă la încărcarea unei versiuni “clean” a aplicației pe Play Store, pentru a da încredere în rândul utilizatorilor și apoi a adăuga virusul, prin actualizarea aplicației.

„Pentru a obține abonarea utilizatorilor la servicii premium fără cunoștința sau consimțământul lor, Joker a folosit două componente principale – Notification Listener, ca parte a aplicației originale, și un fișier dinamic, încărcat de pe serverul C&C pentru efectuarea înregistrării”, se menționează într-o analiză.

În ianuarie 2020, Google a eliminat peste 1.700 de aplicații publicate în Play Store în ultimii trei ani care fuseseră infectate cu programele malware. În cazul în care nu știi dacă ai instalat așa ceva sau nu, merită să verifici istoricul mobil și tranzacțiile, pentru a vedea dacă există plăți suspecte pe care nu le recunoști. Și verifică mereu permisiunile aplicațiilor.