Впервые вредонос Joker был обнаружен в 2017 г. Это шпионское ПО может получить доступ к уведомлениям, читать и отправлять SMS-сообщения. Joker использует эти возможности для скрытной подписки жертв на платные услуги. Google характеризует это вредоносное ПО как постоянную угрозу, с которой он сталкивался в течение последних нескольких лет. За это время создатели Joker попробовали почти каждую технику маскировки.
Недавно исследователь Check Point раскрыл новый метод использования Joker. На этот раз Joker скрывает вредоносный код внутри файла манифест Android в легитимных приложениях. Файл манифеста содержится в корневой папке каждого приложения, он предоставляет важную информацию о приложении, которая требуется системе Android: имя, значок и разрешения для системы Android. Только получив эту информацию, система может выполнить какой-либо код приложения. Таким образом, вредоносному ПО не требуется доступ к C&C-серверу, который контролируется киберпреступниками. Обычно этот сервер используется для отправки команд зараженным системам, которые уже скомпрометированы вредоносным ПО для загрузки полезной нагрузки – той части вредоносного ПО, которая выполняет основную работу.
Новый метод применения Joker можно разбить на три этапа.
Исследователи Check Point раскрыли свои выводы Google. Все одиннадцать заявленных приложений были удалены из Play Store к 30 апреля.