Skadlig kod med fakturabedrägeri kringgår Google Play Stores skydd igen

Forskare hos IT-säkerhetsföretaget Check Point har upptäckt att en skadlig programvara med fakturabedrägerier, Joker, fortsätter undvika skydd från Google Play Store. Den skadliga koden spårades första gången 2017 och är ett spionprogram och uppringare som kan komma åt aviseringar, läsa och skicka textmeddelanden. Dessa funktioner används för att osynligt börja prenumerera på premiumtjänster. Google har beskrivit Joker som ett av de mest ihållande hoten som de har hanterat under de senaste åren, och säger att Joker har använt i stort sett varje metod i ett försök att inte upptäckas.

Nyligen identifierade Check Points forskare Aviran Hazum en ny metod som Joker har utnyttjat. Den här gången döljer programvaran skadlig kod i det som kallas "Android Manifest file" för en legitim applikation. Varje applikation måste ha en Android Manifest-fil i sin rotkatalog. Manifest-filen ger väsentlig information om en app, exempelvis namn, ikon och behörigheter, till Android-systemet och måste finnas innan det kan köra någon av appens koder. På grund av detta behöver Joker inte komma åt en C&C-server.

Aviran Hazum beskriver Jokers nya metod i tre steg:

1. Bygg först nyttan. Joker bygger sin nyttolast i förväg och sätter in den i Android Manifest-filen.

2. Hoppa över nyttolast. Under utvärderingstiden försöker Joker inte ens ladda ner den skadliga nyttolasten, vilket gör det mycket lättare att kringgå Google Play Stores skydd.

3. Sprid skadlig kod. Efter utvärderingstiden, efter att den har godkänts, börjar kampanjen att rulla, skadlig nyttolast bestäms och laddas ner.

- Joker anpassade sig, säger Mats Ekdahl, säkerhetsexpert hos Check Point. Vi upptäckte att koden gömmer sig i filen om väsentlig information som alla Android-applikationer måste ha. Våra senaste resultat tyder på att skydd från Google Play Store inte är tillräckligt. Vi kunde upptäcka många fall av Joker-uppladdningar varje vecka till Google Play, som alla laddades ner av ovetande användare. Jokers skadliga programvara är svår att upptäcka, trots Googles investering att lägga till skydd. Även om Google tog bort skadliga appar från Play Store, kan vi förvänta oss att Joker anpassar sig igen. Alla borde ta sig tid att förstå vad Joker är och hur skadligt det är.

Check Points forskare presenterade sina resultat till Google. Alla rapporterade applikationer (11 appar) togs bort från Google Play Store den 30 april 2020.

Hur du håller dig skyddad

Om du misstänker att du har en av dessa infekterade appar på din enhet bör du:

• Avinstallera det infekterade programmet från enheten
• Kontrollera dina mobil- och kreditkortsräkningar för att se om du har registrerat dig för prenumerationer och avsluta prenumerationen om möjligt
• Installera en säkerhetslösning för att förhindra framtida intrång

Lär mer här.

Följ Check Point på:

LinkedIn: https://www.linkedin.com/showcase/17905174

Twitter: http://www.twitter.com/checkpointsw

Facebook: https://www.facebook.com/checkpointsoftware

Blogg: http://blog.checkpoint.com

YouTube: http://www.youtube.com/user/CPGlobal

För mer säkerhetsrelaterade forskningsnyheter, lyssna på Check Points podcast: https://research.checkpoint.com/category/cpradio/