Bezpečnostní technici v oblasti kybernetickej bezpečnosti už odhalili v Obchode Play mnoho aplikácií obsahujúcich malvér. Tie mali za úlohu účtovať ich používateľom rôzne poplatky za rôzne prémiové služby.
V správe zverejnenej spoločnosťou Check Point sa uvádza, že malvér prezývaný “Joker” (niekedy aj Bread) objavil nový spôsob, ako obísť bezpečnostné kontroly Obchodu Play. Infikovaná aplikácia obsahuje spustiteľný DEX súbor, ktorý je skrytý zakódovanými reťazcami Base64, ktoré sa následne dekódujú a malvér sa načíta do napadnutého zariadenia. Po zverejnení tohto spôsobu napadnutia smartfónov sa bezpečnostným technikom podarilo odstrániť k 30. 4. 2020 približne 11 aplikácií obsahujúcich tento typ kódu.
Malvér “Joker” napáda zariadenia už od roku 2017
Tento typ malvéru je jedným z najrozšírenejších typov malvéru pre systém Android. Zameriava sa prevažne na účtovanie vysokých poplatkov, krádež SMS správ, kontaktov a iných rôznych informácií o zariadení.
Na zvýšenie počtu postihnutých zariadení svojimi aplikáciami, sa vývojári škodlivého softvéru rozhodli pridávať napríklad falošné recenzie. Prípadne používajú techniku označovanú ako “versioning”. Jej princípom je do Obchodu Play nahrať aplikáciu bez malvéru, vďaka čomu prejde cez rôzne bezpečnostné kontroly a vybuduje si dôveru medzi používateľmi. Aplikácia následne dostane aktualizáciu, ktorá už bude obsahovať škodlivý kód.
Od januára 2020 spoločnosť Google odstránila viac ako 1700 takýchto aplikácií nachádzajúcich sa v Obchode Play za posledné tri roky. Podľa informácií na portáli thehackernews.com obsahovali všetky tieto aplikácie spomínaný malvér.
Existuje aj nový variant
Nová verzia identifikovaná spoločnosťou Check Point funguje tak, ako bolo vyššie spomenuté, na princípe zakódovania DEX súboru ako reťazce Base64. Aviran Hazum uviedol:
„Aby sa dosiahla schopnosť predplatenia služieb zákazníkom bez ich vedomia alebo súhlasu, používa “Joker” dva hlavné komponenty – “poslucháča notifikácií” ako súčasť pôvodnej aplikácie a dynamický súbor DEX načítaný zo servera C&C na vykonanie registrácie.”
Nový variant škodlivého softvéru je vybavený aj novou funkciou, ktorá umožňuje útočníkovi vzdialene vyslať „falošný“ stavový kód zo servera C&C pod ich kontrolou, čím sa zastaví škodlivá aktivita aplikácie.
Na záver je treba poznamenať, že malvér “Joker” už neobsahuje až takú veľkú hrozbu, keďže bezpečnosť systému Android je s príchodom každej aktualizácie lepšia a lepšia.
