Gå direkt till innehåll
Skadlig kod med fakturabedrägeri kringgår Google Play Stores skydd igen

Nyhet -

Skadlig kod med fakturabedrägeri kringgår Google Play Stores skydd igen

Forskare hos IT-säkerhetsföretaget Check Point har upptäckt att en skadlig programvara med fakturabedrägerier, Joker, fortsätter undvika skydd från Google Play Store. Den skadliga koden spårades första gången 2017 och är ett spionprogram och uppringare som kan komma åt aviseringar, läsa och skicka textmeddelanden. Dessa funktioner används för att osynligt börja prenumerera på premiumtjänster. Google har beskrivit Joker som ett av de mest ihållande hoten som de har hanterat under de senaste åren, och säger att Joker har använt i stort sett varje metod i ett försök att inte upptäckas.

Nyligen identifierade Check Points forskare Aviran Hazum en ny metod som Joker har utnyttjat. Den här gången döljer programvaran skadlig kod i det som kallas "Android Manifest file" för en legitim applikation. Varje applikation måste ha en Android Manifest-fil i sin rotkatalog. Manifest-filen ger väsentlig information om en app, exempelvis namn, ikon och behörigheter, till Android-systemet och måste finnas innan det kan köra någon av appens koder. På grund av detta behöver Joker inte komma åt en C&C-server.

Aviran Hazum beskriver Jokers nya metod i tre steg:

1. Bygg först nyttan. Joker bygger sin nyttolast i förväg och sätter in den i Android Manifest-filen.

2. Hoppa över nyttolast. Under utvärderingstiden försöker Joker inte ens ladda ner den skadliga nyttolasten, vilket gör det mycket lättare att kringgå Google Play Stores skydd.

3. Sprid skadlig kod. Efter utvärderingstiden, efter att den har godkänts, börjar kampanjen att rulla, skadlig nyttolast bestäms och laddas ner.

- Joker anpassade sig, säger Mats Ekdahl, säkerhetsexpert hos Check Point. Vi upptäckte att koden gömmer sig i filen om väsentlig information som alla Android-applikationer måste ha. Våra senaste resultat tyder på att skydd från Google Play Store inte är tillräckligt. Vi kunde upptäcka många fall av Joker-uppladdningar varje vecka till Google Play, som alla laddades ner av ovetande användare. Jokers skadliga programvara är svår att upptäcka, trots Googles investering att lägga till skydd. Även om Google tog bort skadliga appar från Play Store, kan vi förvänta oss att Joker anpassar sig igen. Alla borde ta sig tid att förstå vad Joker är och hur skadligt det är.

Check Points forskare presenterade sina resultat till Google. Alla rapporterade applikationer (11 appar) togs bort från Google Play Store den 30 april 2020.

Hur du håller dig skyddad

Om du misstänker att du har en av dessa infekterade appar på din enhet bör du:

  • Avinstallera det infekterade programmet från enheten
  • Kontrollera dina mobil- och kreditkortsräkningar för att se om du har registrerat dig för prenumerationer och avsluta prenumerationen om möjligt
  • Installera en säkerhetslösning för att förhindra framtida intrång

Lär mer här.

Följ Check Point på:

LinkedIn: https://www.linkedin.com/showcase/17905174

Twitter: http://www.twitter.com/checkpointsw

Facebook: https://www.facebook.com/checkpointsoftware

Blogg: http://blog.checkpoint.com

YouTube: http://www.youtube.com/user/CPGlobal

För mer säkerhetsrelaterade forskningsnyheter, lyssna på Check Points podcast: https://research.checkpoint.com/category/cpradio/

Ämnen

Kontakter

Relaterat innehåll

  • Fyra stora farhågor med smittspårningsappar

    Fyra stora farhågor med smittspårningsappar

    ​Pandemin innebär en stor påfrestning för både människor och ekonomier världen över och som bekant har många länder infört försiktighetsåtgärder av olika slag för att bromsa smittspridningen, bland annat med hjälp av smittspårningsapplikationer. Dessa har utvecklats i hundratals och stöttas av regeringar och hälsomyndigheter i flera länder i världen.

  • Stark hackartrend att utnyttja banköverföringar – riskkapitalbolag måltavlor

    Stark hackartrend att utnyttja banköverföringar – riskkapitalbolag måltavlor

    Check Points forskare har identiferat en stark trend, där hackare använder så kallad social engineering, för att, via manipulerad e-post, uppmana anställda att göra banköverföringar till ett bankkonto som tillhör den cyberkriminelle. Check Points forskare har observerat att attackerna blivit allt mer sofistikerade och de klassas nu som organiserad brottslighet.

  • Kritisk sårbarhet hittad hos Microsoft – uppdatera nu

    Kritisk sårbarhet hittad hos Microsoft – uppdatera nu

    Forskare hos IT-säkerhetsföretaget Check Point har identifierat ett säkerhetsfel i Windows DNS-server, vilket är implementeringen av domännamnssystemet, eller DNS (Domain Name System), som tillhandahålls av Microsoft i Windows operativsystem.

  • Hackare använder coronavaccinet för att komma åt känslig information

    Hackare använder coronavaccinet för att komma åt känslig information

    Forskare hos IT-säkerhetsföretaget Check Point har upptäckt en ny trend där hackare skickar e-post med en ämnesrad som handlar om ett vaccin mot coronaviruset. Detta för att locka mottagare att ladda ner skadliga Windows-, Word- och Excelfiler som utformats för att hackarna ska kunna komma åt användarnas datorers användarnamn och lösenord.