Bij deze methode wordt een schone versie van de app geüpload naar de Play Store om het vertrouwen van gebruikers te winnen en later voegen ze in het geheim kwaadaardige code toe via app-updates.
Cybersecurity-onderzoekers onthulden dat een nieuwe variant van de beruchte 'Joker-malware' opnieuw Google Play is binnengedrongen en dat elf kwaadaardige Android-applicaties door Google zijn verwijderd uit de Play Store.
Abonneren zonder medeweten
De Android-malware was verborgen onder het mom van legitieme applicaties om gebruikers in het geheim te laten abonneren op premium services zonder hun medeweten.
Volgens een gepubliceerd Check Point-onderzoeksrapport heeft de malware genaamd Joker (of Bread) een nieuwe techniek gevonden om de bescherming van Google Play Store te omzeilen. Verdoezel het schadelijke DEX-uitvoerbare bestand in de applicatie als Base64-gecodeerde tekenreeksen, die vervolgens worden gedecodeerd en op het besmette apparaat worden geladen .
Na de onthulling door Check Point-onderzoekers werden de 11 apps in kwestie op 30 april 2020 door Google verwijderd uit de Play Store.
Joker-applicatie op Google Play
Moeilijk te detecteren
Aviran Hazum van Check Point verklaarde dat de Joker-malware moeilijk te detecteren was, ook al zijn er beveiligingsmaatregelen door Google beschikbaar. Hij voegde eraan toe dat, hoewel de kwaadaardige apps uit de Play Store zijn verwijderd, de kans groot is dat de Joker zich opnieuw aanpast.
Joker malware
Joker, die voor het eerst werd ontdekt in 2017, is een van de meest voorkomende soorten Android-malware. Het staat bekend om het uitvoeren van factureringsfraude en de spyware mogelijkheden, waaronder het stelen van sms-berichten, contactenlijsten en apparaatinformatie.
Om hun ware aard te verbergen, hebben de malware-operators verschillende methoden gebruikt, waaronder codering om strings te verbergen voor analyse-engines, neprecensies om gebruikers de apps te laten downloaden en ook een techniek genaamd versiebeheer. Bij deze methode wordt een schone versie van de app geüpload naar de Play Store om het vertrouwen van gebruikers te winnen en later voegen ze in het geheim kwaadaardige code toe via app-updates.
Met de introductie van nieuw beleid in de Play Store en Google Play Protect is hun verdediging verbeterd, werden Bread-apps gedwongen om voortdurend te herhalen om te zoeken naar hiaten. Ze gebruikten alle mogelijke methoden en ingewikkelde technieken om onopgemerkt te blijven.
Google Play Store
Vanaf januari 2020 heeft Google meer dan 1.700 apps verwijderd die de afgelopen drie jaar bij de Play Store zijn ingediend en die met de malware waren geïnfecteerd.
De nieuwe variant die nu is gevonden, heeft ook hetzelfde doel, maar maakt gebruik van het manifestbestand van de app, dat wordt gebruikt om een met Base64 gecodeerd DEX-bestand te laden.
Een tweede "tussen" -versie werd ook geïdentificeerd met behulp van een vergelijkbare techniek om het .dex-bestand te verbergen als Base64-strings, maar voegt ze toe als een interne klasse in de hoofdtoepassing en laadt het via reflectie-API's.
Om de gebruikers in het geheim zonder hun toestemming te laten abonneren, maakte de Joker gebruik van twee hoofdcomponenten. De notificatie-listener als onderdeel van de oorspronkelijke applicatie en een dynamisch dex-bestand dat van de C & C-server werd geladen om de registratie uit te voeren.
Daarnaast heeft de variant ook verschillende nieuwe functies waarmee de cybercriminelen op afstand een "valse" statuscode kan uitgeven van een C & C-server onder zijn controle om de kwaadaardige activiteit te onderbreken.
We te doen
De gebruikers die de geïnfecteerde apps hebben geïnstalleerd, moeten hun mobiele en transactiegeschiedenis controleren om te zien of er verdachte betalingen zijn gedaan.
Zorg ervoor dat u zorgvuldig de app-machtigingen controleert voor alle apps die op uw Android-apparaat zijn geïnstalleerd.
Bron: cybersafe, checkpoint
