ПО Joker в очередной раз обошло механизмы Google Play Store
13 июля 2020 года
Недавно исследователь Check Point Авиран Хазум раскрыл новый метод использования Joker. На этот раз вредоносная программа Joker скрывает вредоносный код внутри файла манифест Android в легитимных приложениях. Файл манифеста содержится в корневой папке каждого приложения, он предоставляет важную информацию о приложении, которая требуется системе Android: имя, значок и разрешения для системы Android. Только получив эту информацию, система может выполнить какой-либо код приложения. Таким образом, вредоносному ПО не требуется доступ к C&C-серверу, который контролируется киберпреступниками. Обычно этот сервер используется для отправки команд зараженным системам, которые уже скомпрометированы вредоносным ПО для загрузки полезной нагрузки –– той части вредоносного ПО, которая выполняет основную работу.
Новый метод применения Joker можно разбить на три этапа.
Создание полезной нагрузки. Joker заранее создает полезную нагрузку, вставляя ее в файл манифеста Android.
Отсрочка загрузки полезной нагрузки. Во время оценивания Joker даже не пытается загрузить вредоносную полезную нагрузку –– это значительно облегчает обход средств защиты Google Play Store.
Распространение вредоносного ПО. После того, как службы безопасности Google Play Store одобрят приложение, начинает работать вредоносная кампания –– полезная нагрузка определяется и загружается.
Исследователи Check Point ответственно раскрыли свои выводы в Google. Все заявленные приложения (11 приложений) были удалены из Play Store к 30 апреля 2020 года.
«Joker все время меняется, приспосабливаясь к новым условиям. Мы обнаружили, что он скрывается в файле с необходимой информацией, файле, который содержится в каждом Android-приложении, –– рассказывает Авиран Хазум, специалист по мобильным исследованиям Check Point Software Technologies. –– Наши последние исследования показывают, что защиты Google Play Store недостаточно. Мы еженедельно выявляли многочисленные случаи загрузки Joker в Google Play –– каждая из которых была произведена ничего не подозревающими пользователями. Вредоносное ПО Joker сложно обнаружить, несмотря на инвестиции Google в средства защиты Play Store. Хотя сейчас Google удалил вредоносные приложения из Play Store, можно предположить, что Joker снова вернется. Каждому пользователю желательно знать об этой программе и понимать, как можно от нее пострадать».
Если вы подозреваете, что на вашем устройстве может быть одно из этих зараженных приложений:
Удалите зараженное приложение с устройства.
Источники править
Эта статья содержит материалы из статьи «ПО Joker в очередной раз обошло механизмы Google Play Store», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.