Alors, Joker est de retour. Google averti l’année dernière que ce dangereux malware a utilisé “à peu près toutes les techniques de dissimulation et d’obscurcissement pour passer inaperçues”. Il n’est donc pas surprenant que Joker vienne de trouver un autre moyen d’accéder au Play Store. La dernière alarme a été déclenchée par l’équipe de Check Point, qui avertit que «Joker est l’une des menaces les plus sophistiquées du genre que nous ayons jamais vues.»

Je dure signalé sur Joker en février, alors qu’il avait infecté plus de 300 000 appareils un mois seulement après que Google ait purgé quelque 1 700 applications malveillantes de son Play Store. Ce n’est pas un adware frivole. Cela abonne les victimes à des services frauduleux ou compose et envoie des SMS à des numéros premium. Et la suppression des applications malveillantes ne suffit pas: les utilisateurs doivent retrouver les frais erronés et annuler ces services.

Cette fois-ci, Check Point rapporte que Joker a trouvé une nouvelle cachette «pour contourner à nouveau la protection de Google Play Store». Il s’agit en fait d’une vieille cachette, pour être plus exact, “une vieille technique issue du paysage général des menaces informatiques”, explique Check Point, “utilisée pour éviter la détection par Google.”

Donc comment ça fonctionne? Comme me l’a expliqué Aviran Hazum de Check Point, Joker se cache maintenant dans le fichier manifeste des applications infectées, «c’est le fichier que chaque application Android doit avoir, où le développeur déclare les autorisations nécessaires, l’utilisation des services, etc. charge utile dans les champs de «métadonnées» de ce fichier, pour être décodé et chargé uniquement sur l’appareil d’une victime. De cette façon, aucune configuration ou charge utile ne doit être retirée d’Internet. »

Le concept des opérations de Joker est simple. Chaque fois qu’il est capturé, les exemples et les méthodes sont ajoutés à la liste utilisée par Google pour dépister les menaces des applications Play Store. Et donc, même si la fonctionnalité de base de Joker reste la même, ses méthodes doivent changer. Cette fois-ci, «il cache son fichier dex malveillant à l’intérieur de l’application sous forme de chaînes encodées en Base64, attendant d’être décodé et chargé».

Google m’a dit que les applications erronées avaient maintenant été supprimées du Play Store, bien que Check Point ait averti “qu’il pourrait encore y en avoir d’autres.” Pour les utilisateurs, la mauvaise nouvelle est qu’ils ne sauront pas qu’ils ont été infectés. Ils devront garder un œil sur les “services de facturation étranges auxquels ils ne sont pas abonnés”.

Comme l’explique Check Point, «Joker détecte le pays dans lequel se trouve un utilisateur, puis identifie les services premium pertinents accessibles depuis cet emplacement … Le malware enregistre le numéro de téléphone d’un utilisateur auprès du service premium, en attente de vérification par SMS. Grâce aux autorisations SMS, le logiciel malveillant lit le code et insère ce code dans la page de vérification du service premium. Avec les mêmes autorisations SMS, il supprime le SMS afin que l’utilisateur ne soit pas alerté. Le résultat final est que le malware s’inscrit à un nouveau service sans qu’un utilisateur ne le sache jamais. »

Joker est l’illustration parfaite du défi de Google. Aussi vite qu’il se déplace pour rendre le Play Store plus sûr, les acteurs de la menace réagissent et réagissent, en essayant de multiples méthodes et techniques pour tester les défenses et trouver des voies. Pour chaque campagne, ces acteurs ne doivent réussir qu’avec une seule de ces méthodes, alors que les défenses de Google doivent se tenir debout avec succès à chaque fois. Ça ne marche pas.

Google peut être félicité pour les efforts qu’il déploie pour nettoyer la maison – et chaque fois que de telles menaces sont identifiées, le géant de la technologie réagit rapidement et purge ces applications. «Ils ont répondu rapidement et communiquent régulièrement avec nous», m’a expliqué Check Point.

Joker ne s’en va pas – et cela signifie que les utilisateurs doivent être vigilants, regarder ce qu’ils téléchargent et vérifier périodiquement les relevés de facturation pour les services auxquels ils ont apparemment souscrit. Comme Hazum le prévient, «les protections de Google Play Store ne suffisent pas, bien que Google ait supprimé les applications malveillantes du Play Store, nous pouvons nous attendre à ce que Joker s’adapte à nouveau. Tout le monde devrait prendre le temps de comprendre ce qu’est le Joker et comment cela fait mal aux gens de tous les jours. »


Les noms des packages des 11 applications infectées sont répertoriés ici:

  1. com.imagecompress.android
  2. com.contact.withme.texts
  3. com.hmvoice.friendsms
  4. com.relax.relaxation.androidsms
  5. com.cheery.message.sendsms
  6. com.cheery.message.sendsms
  7. com.peason.lovinglovemessage
  8. com.file.recovefiles
  9. com.LPlocker.lockapps
  10. com.remindme.alram
  11. com.training.memorygame

.

Leave a Reply