Povratak Džoker malvera na Google Play

U Color Message App pronađen je malver Džoker (Joker). Pre uklanjanja iz prodavnice, aplikacija je skinuta više od 500.000 puta. Istraživači firme “Pradeo Security” preporučuju brisanje Color Message aplikcije, kako bi se izbegla potencijalna prevara.

Pretplata žrtava na neželjene premium usluge

Džoker obmanjuje korisnike aplikacija putem premium poruka. Skriva se unutar naizgled običnih aplikacija kakve su igre, aplikacije za poruke, prevodioci, foto editori i slično. Kada ih jednom instalirate, Džoker vas pretplaćuje na neželjene premium usluge koje kontrolišu napadači. Žrtva postaje svesna da je izmanipulisana tek kada joj stigne račun za telefon.

Istraživači tvrde da aplikacija uspostavlja veze sa ruskim serverima. Pored pretplate na premium usluge, eksfiltrira kontakte i informacije o uređaju i može da se sakrije sa “home” ekrana. Color Message je interesantna aplikacija koja personalizuje poruke i uglavnom je imala dobre ocene, ali su one loše pominjale da je u pitanju obmana.

Kako se Džoker ušunjava u Google Play?

Postoje načini na koje Džoker uspeva da bude gotovo neprimetan za Google Play zaštitu. Jedan od načina na koji to postiže je kroz lagani razvoj i konstantno petljanje koda. Koristi što je manje moguće koda, pažljivo ga krijući i tako kreira minimalan otisak koji nije lako otkriti.

Najnovije verzije malvera koriste legitimne programerske alatke, kao što je “Flutter”, kako bi izbegle uslove bezbednosti uređaja i zaštite u prodavnici. Flutter je programerska aplikacija otvorenog koda, dizajniran od strane Google-a. Omogućava programerima da naprave izvorne aplikacije za mobilne telefone, web i desktop, iz jedne baze koda. Pošto je Flutter legitimna i zajednička programska aplikacija, čak će i zlonamerne aplikacije koje ga koriste izgledati “čisto”. U poslednje 4 godine, više od 1.800 aplikacija je, zbog Džoker malvera, ukonjeno iz prodavnice aplikacija.

Izvor: threatpost