Joker снова обошел защиту Google Play Store, на сей раз посредством манифеста Android

Впервые вредонос Joker был обнаружен в 2017 г. Это шпионское ПО может получить доступ к уведомлениям, читать и отправлять SMS-сообщения. Joker использует эти возможности для скрытной подписки жертв на платные услуги. Google характеризует это вредоносное ПО как постоянную угрозу, с которой он сталкивался в течение последних нескольких лет. За это время создатели Joker попробовали почти каждую технику маскировки.

Недавно исследователь Check Point раскрыл новый метод использования Joker. На этот раз Joker скрывает вредоносный код внутри файла манифест Android в легитимных приложениях. Файл манифеста содержится в корневой папке каждого приложения, он предоставляет важную информацию о приложении, которая требуется системе Android: имя, значок и разрешения для системы Android. Только получив эту информацию, система может выполнить какой-либо код приложения. Таким образом, вредоносному ПО не требуется доступ к C&C-серверу, который контролируется киберпреступниками. Обычно этот сервер используется для отправки команд зараженным системам, которые уже скомпрометированы вредоносным ПО для загрузки полезной нагрузки – той части вредоносного ПО, которая выполняет основную работу.

Новый метод применения Joker можно разбить на три этапа.

1. Создание полезной нагрузки. Joker заранее создает полезную нагрузку, вставляя ее в файл манифеста Android.
2. Отсрочка загрузки полезной нагрузки. Во время оценивания Joker даже не пытается загрузить вредоносную полезную нагрузку – это значительно облегчает обход средств защиты Google Play Store.
3. Распространение вредоносного ПО. После того, как службы безопасности Google Play Store одобрят приложение, начинает работать вредоносная кампания – полезная нагрузка определяется и загружается.

Исследователи Check Point раскрыли свои выводы Google. Все одиннадцать заявленных приложений были удалены из Play Store к 30 апреля.