El malware de fraude de facturación de Joker eludió la seguridad de Google Perform para infectar dispositivos Android


Según Examine Position Exploration, una nueva variante apuntó a los usuarios de Android para suscribirlos a servicios high quality sin su consentimiento.

shield.jpg

iStock / Jirsak

Google a veces tiene dificultades para mantener el malware fuera de su tienda de aplicaciones móviles. Aunque la empresa emplea Google Engage in Shield Para escanear y examinar aplicaciones que contienen malware, los ciberdelincuentes expertos pueden idear formas de escapar de esas defensas.

Siempre una espina en el lado de Google, el malware Joker llegó como una nueva variante hace unos meses y evadió Google Engage in Shield para infectar aplicaciones legítimas y suscribir a las personas a servicios high quality. UNA publicación de website publicada el jueves por el proveedor de inteligencia de amenazas cibernéticas Check out Position Exploration explica cómo funcionó esta nueva versión y qué hacer si cree que una de las aplicaciones aún puede estar en su dispositivo Android.

VER: Los mejores consejos de seguridad de Android (PDF gratuito) (TechRepublic)

Descubierto por Look at Position, el malware fue un nuevo sabor del bufón Spy ware Dropper y Top quality Dialer. Al esconderse en aplicaciones legítimas, esta nueva versión logró descargar malware adicional en dispositivos Android. Una vez instalada, esta variante de Joker suscribiría a los usuarios a servicios quality sin su aprobación como un excelente ejemplo de fraude de facturación.

Los investigadores de Check out Issue revelaron sus hallazgos a Google, que eliminó 11 aplicaciones identificadas de Google Participate in antes del 30 de abril de 2020. Sin embargo, el descubrimiento muestra que la protección de Google Play Retail store puede ser engañada por delincuentes inteligentes y hackers que saben cómo crear programas que ocultan sus malas intenciones.

En este caso, la nueva variante de Joker utilizó dos componentes para inscribir a las personas como suscriptores de servicios high quality pagos. Un componente fue el Servicio de escucha de notificaciones, que se utiliza para conocer las notificaciones drive recibidas en el dispositivo.

El otro componente era un archivo dex dinámico cargado desde el servidor de Comando y Regulate para registrar al usuario para los servicios quality. UNA archivo dex, o el archivo ejecutable Dalvik, contiene código diseñado para ser ejecutado por el entorno Android Runtime. Para ocultar los verdaderos propósitos del malware, el pirata informático ocultó el archivo dex a la vista y se aseguró de que pudiera cargarse.

En pocas palabras, Joker operaba en tres etapas distintas:

  • Construir carga útil primero. Joker construye su carga útil de antemano insertándola en el Archivo de manifiesto de Android.
  • Omitir carga útil. Durante el tiempo de evaluación, Joker ni siquiera intenta cargar la carga maliciosa, lo que hace que sea mucho más fácil eludir las protecciones de Google Enjoy Retail store.
  • El malware se propaga. Después del período de evaluación y la aplicación ha sido aprobada, la campaña comienza a funcionar cargando la carga maliciosa.

Examine Level proporcionó a TechRepublic los nombres de los paquetes y los nombres de Google Play para cada una de las 11 aplicaciones infectadas:

  1. com.imagecompress.android – Comprimir imagen
  2. com.contact.withme.texts – Mensaje de contacto
  3. com.hmvoice.friendsms – SMS de amigo
  4. com.loosen up.leisure.androidsms – Mensaje de relajación
  5. com.cheery.message.sendsms – Mensaje alegre
  6. com.cheery.message.sendsms – Mensaje alegre
  7. com.peason.lovinglovemessage – Mensaje de amor
  8. com.file.recovefiles – Recuperación de archivos
  9. com.LPlocker.lockapps – Application Locker
  10. com.remindme.alram – Recordar alarma
  11. com.training.memorygame – Juego de memoria

«Joker se adaptó», dijo en un comunicado de prensa Aviran Hazum, gerente de investigación móvil de Examine Level. «Descubrimos que está oculto en el archivo de &#39información esencial&#39 que todas las aplicaciones de Android deben tener. Nuestros últimos hallazgos indican que las protecciones de Google Play Keep no son suficientes. Pudimos detectar numerosos casos de cargas de Joker semanalmente en Google Participate in , todos los cuales fueron descargados por usuarios desprevenidos «.

«El malware Joker es difícil de detectar a pesar de la inversión de Google en agregar protecciones de Play Retailer. Aunque Google eliminó las aplicaciones maliciosas de Engage in Retailer, podemos esperar que Joker se adapte nuevamente. Todos deberían tomarse el tiempo para comprender qué es Joker y cómo funciona. duele la gente común «.

Para los usuarios de Android que sospechan que pueden tener una o más de las aplicaciones infectadas, Look at Issue ofrece los siguientes tres consejos:

  1. Desinstale la aplicación infectada de su dispositivo.
  2. Verifique sus facturas de tarjeta de crédito y móvil para ver si se ha suscrito a alguna suscripción y cancele la suscripción si es posible.
  3. Instale una solución de seguridad para prevenir futuras infecciones.

Ver también



Enlace a la noticia first