Joker Android Mobile Virus

Les chercheurs en cybersécurité ont enlevé les enveloppes encore une autre instance de malware Android caché sous le couvert d’applications légitimes pour abonner furtivement des utilisateurs sans méfiance à des services premium à leur insu.

Dans un rapport publié aujourd’hui par Check Point Research, le malware – tristement appelé Joker (ou Bread) – a trouvé une autre astuce pour contourner les protections du Play Store de Google: masquer l’exécutable DEX malveillant à l’intérieur de l’application en tant que chaînes encodées en Base64, qui sont ensuite décodées et chargé sur le périphérique compromis.

À la suite d’une divulgation responsable par des chercheurs de Check Point, les 11 applications (liste et hachages ici) en question ont été supprimés par Google du Play Store le 30 avril 2020.

« Le malware Joker est difficile à détecter, malgré l’investissement de Google dans l’ajout de protections Play Store », a déclaré Check PointC’est Aviran Hazum, qui a identifié le nouveau mode opératoire du malware Joker. « Bien que Google ait supprimé les applications malveillantes du Play Store, nous pouvons nous attendre à ce que Joker s’adapte à nouveau. »

Joker: une famille de fraude à la facturation à grande échelle

Publicité

Découvert pour la première fois en 2017, Joker est l’un des types de logiciels malveillants Android les plus répandus, connu pour avoir perpétré une fraude à la facturation et ses capacités de logiciels espions, notamment le vol de SMS, les listes de contacts et les informations sur les appareils.

Les campagnes impliquant Joker ont gagné du terrain l’année dernière, avec un certain nombre d’applications Android infectées par des logiciels malveillants découvertes par Groupe de sécurité du SCRS, Trend Micro, Dr.Web, et Kaspersky, trouvant à plusieurs reprises des moyens uniques d’exploiter les lacunes dans les contrôles de sécurité du Play Store.

Pour masquer leur véritable nature, les auteurs de logiciels malveillants à l’origine de l’opération à grande échelle ont eu recours à une variété de méthodes – le cryptage pour cacher les chaînes des moteurs d’analyse, de fausses critiques pour inciter les utilisateurs à télécharger les applications et une technique appelée versioning, qui se réfère à télécharger une version propre de l’application sur le Play Store pour instaurer la confiance entre les utilisateurs, puis ajouter sournoisement du code malveillant à un stade ultérieur via les mises à jour de l’application.

« Alors que le Play Store a introduit de nouvelles politiques et que Google Play Protect a mis à l’échelle les défenses, les applications Bread ont été obligées de répéter continuellement pour rechercher des lacunes », L’équipe de sécurité et de confidentialité d’Android a déclaré plus tôt cette année. « Ils ont à un moment donné utilisé à peu près toutes les techniques de camouflage et d’obscurcissement sous le soleil pour tenter de passer inaperçus. »

En janvier 2020, Google avait supprimé plus de 1700 applications soumises au Play Store au cours des trois dernières années qui avaient été infectées par le logiciel malveillant.

Utilisation du manifeste Android pour masquer un fichier DEX malveillant

Joker Android Mobile Virus

La nouvelle variante repérée par Check Point a le même objectif mais y va en tirant parti de l’application fichier manifeste, qu’il utilise pour charger un fichier DEX encodé en Base64.

Une deuxième version « intermédiaire » identifiée par Check Point utilise une technique similaire pour masquer le fichier .dex en tant que chaînes Base64 mais les ajoute en tant que classe interne dans l’application principale et le charge via API de réflexion.

« Pour atteindre la capacité d’abonner les utilisateurs à des services premium à leur insu ou sans leur consentement, le Joker a utilisé deux composants principaux – le Listener de notification dans le cadre de l’application d’origine et un fichier dex dynamique chargé à partir du serveur C&C pour effectuer l’enregistrement. « , A noté Hazum dans son analyse.

Joker Android Malware

De plus, la variante est équipée d’une nouvelle fonctionnalité qui permet à l’acteur de la menace d’émettre à distance un « faux » code d’état à partir d’un serveur C&C sous son contrôle pour suspendre l’activité malveillante.

Si quoi que ce soit, le dernier schéma Joker représente moins une menace critique qu’il ne rappelle la façon dont les logiciels malveillants Android évoluent en permanence et doivent être protégés en permanence.

Pour les utilisateurs qui ont installé l’une des applications infectées, il vaut la peine de vérifier votre historique de mobile et de transaction pour voir s’il y a des paiements suspects que vous ne reconnaissez pas. Assurez-vous également d’examiner attentivement vos autorisations pour chaque application installée sur votre appareil Android.


Rate this post
Publicité
Article précédentEst-ce que cet anime reviendra pour la prochaine saison, voici tout ce qu’il faut savoir
Article suivantLes tendances technologiques RH qui définissent 2020
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici