Malware Android: Joker zomba da defesa do Google

O Malware Joker, que registra usuários do Android em serviços de alta qualidade sem o consentimento deles, dificulta o Google, pois os novos exemplos constantemente ignoram o controle e acabam na Play Store.

O malware está em pleno andamento, e os novos exemplos encontrados no repositório oficial do Android parecem ter sido criados especificamente para evitar os mecanismos de detecção do Google.

Também conhecido como Pão, o malware é um spyware e um spyware premium que podem acessar notificações, ler e enviar SMS. Esses recursos são usados ​​para o registro invisível de vítimas em serviços de alta qualidade.

malware coringa

O Coringa evita os EUA e o Canadá

Os pesquisadores da Check Point descobriram recentemente quatro novas amostras na Play Store, em aplicativos com um total de mais de 130.000. O malware estava escondido em uma câmera, papel de parede, SMS e software de edição de fotos:

  • app.reyflow.phote
  • race.mely.wpaper
  • landscape.camera.plus
  • vailsmsplus
  • Para ocultar a funcionalidade mal-intencionada nos aplicativos infectados, uma criptografia XOR simples com uma chave estática é aplicada às seqüências relacionadas que controlam a presença de uma carga útil original e, caso contrário, é baixada de um servidor de comando e controle (C2).

    O malware não tem como alvo dispositivos dos EUA e do Canadá, pois a Check Point descobriu um recurso que lê as informações do operador especificamente para filtrar essas áreas.

    Se as condições forem atendidas, o Coringa se comunica com seu servidor C2 para carregar um arquivo de configuração contendo um URL para outra carga útil que é executada imediatamente após o download.

    O processo de assinatura é invisível para o usuário, pois os URLs para serviços de alta qualidade no arquivo de configuração são abertos em uma visualização da Web oculta.

    O desenvolvedor Joker geralmente personaliza o código para mantê-lo indetectável. O Google diz que muitos dos exemplos encontrados parecem ter sido criados especificamente para distribuição na Play Store, pois não apareceram em outros lugares.

    Desde que o Google lançou o Joker no início de 2017, a empresa retirou cerca de 1.700 aplicativos Play Store infectados. No entanto, isso não desencorajou o autor do malware, que “usou quase qualquer técnica para evitar a detecção”.

    As novas amostras do Coringa aparecem quase diariamente na Play Store do Google, diz Aviran Hazum, pesquisador de segurança móvel da Check Point.

    O objetivo do clicker é anunciar fraudes, imitando os cliques do usuário nos anúncios. Atualmente, a fraude em anúncios para celular é um desafio constante, pois pode assumir várias formas. Por esse crime, o Google anunciou ontem que retirou quase 600 aplicativos da loja oficial do Android e também os proibiu de plataformas geradoras de receita publicitária, Google AdMob e Google Ad Manager.

    Nomeado Haken, o novo código malicioso é baseado no código e na infiltração inerentes às bibliotecas do Facebook e da AdMob e toma forma a partir de um servidor remoto após o processo de verificação do Google.

    O malware foi introduzido em aplicativos que fornecem funcionalidade de publicidade. Um sinal indicando intenção maliciosa requer direitos que o aplicativo comprometido não precisa, como a execução de código ao iniciar o dispositivo.

    Uma vez elegível, o Haken atinge seu objetivo carregando uma biblioteca nativa (kagu-lib) e registrando dois funcionários de serviço.

    O código inerente inserido no Ad-SDK (kit de desenvolvimento de software) permite o processo de aplicação de backdoor a aplicativos que já existem na Play Store, permitindo que o Haken mantenha um perfil baixo e gere receita com campanhas publicitárias fraudulentas.

    Ainda não se sabe o que ele fará depois de deixar o cargo, mas o baixo número de instalações sugere que a propagação não é grande. Se eles ainda estiverem em seus dispositivos, os usuários deverão desinstalar os seguintes aplicativos:

  • Crianças Colorir – com.faber.kids.coloring
  • Bússola – com.haken.compass
  • qrcode – com.haken.qrcode
  • Livro de Colorir de Frutas – com.vimotech.fruits.coloring.book
  • Livro de colorir de futebol – com.vimotech.soccer.coloring.book
  • Torre do salto de frutas – mobi.game.fruit.jump.tower
  • Atirador de números de bola – mobi.game.ball.number.shooter
  • Inongdan – com.vimotech.inongdan