Enkele weken geleden wij informeren het (slechte) nieuws van de terugkeer van nar op de mobiele scene, de bevestiging van het potentieel van een van de Android-malware moeilijker uit te roeien. Zelfs de oorsprong gaat terug tot het verre verleden. 2017wanneer een virus – oorspronkelijk bekend onder de naam “Brood“- vond zijn weg via smartphones die waren uitgerust met het mobiele besturingssysteem van Google, waardoor de veiligheid (en portemonnee) van zijn gebruikers in gevaar kwam.
Vier jaar later, nar het is nog steeds actief, hoewel met gedeeltelijk andere connotaties en conformaties in vergelijking met het verleden.
Hoewel het dezelfde naam hield, moest de beroemde Android-malware fit De groeiende antivirusbeschermingsmechanismen van Google: de cybercriminelen achter Joker hebben zo snel trucs bedacht om de scanengines van Google Play Protect te omzeilen. Daarom hebben we te maken met een extreem dynamisch virus, dat zijn huid kan afschudden en daarom gevaarlijk is voor gebruikers.
Een dynamisch virus
In de vier jaar van strijdbaarheid en in de verschillende dalingen die werden aangenomen, nar is altijd redelijk consistent geweest in zijn basisprincipes: het belangrijkste doel van malware is: leeg resterend tegoed van de simkaart van de Android-smartphone door de onbewuste en ononderbroken activering van betalingsdiensten, uiteraard beheerd door de cybercriminelen zelf. Daarom gebruikt de malware de WAP-fraude gebaseerd op de WAP-standaard, het acroniem voor Wireless Application Protocol, en gebruikt de dialer-functionaliteit om totale controle te hebben over alles wat er op de smartphone gebeurt: in feite is het in staat om meldingen lezen die het geïnfecteerde apparaat bereiken en autonoom kunnen sms’en.
In de eerste versies waren de kwaadaardige activiteiten van nar werden uitgevoerd via sms, maar pas onlangs is de gevreesde malware geëvolueerd door het gebruik van geavanceerde apparaten. Zoals de beveiligingsonderzoekers hebben uitgelegd, vindt het virus nu lymfe uit… schijnbaar ongevaarlijke apps, tot het punt dat het wordt gehost in de Play Store en daarom theoretisch veilig is voor iedereen die ze downloadt. Deze laatste variant van nar Het is zeker de gevaarlijkste omdat het potentieel de ongedifferentieerde massa van gebruikers kan bereiken – je hoeft alleen maar de verkeerde app te downloaden om je portemonnee leeg te maken. En we hebben veel toepassingen van Joker gezien, meer precies meer dan 1.700 omdat het virus zijn huid afschudt.
De nieuwe variant van nar maakt gebruik van een zogenaamdedruppelaar“, een programma dat door cybercriminelen wordt gebruikt met als doel malware te uploaden naar het apparaat waarop de app is geïnstalleerd. De druppelaar is daarom een veel voorkomende applicatie die aanwezig is in de Play Store en niet erg verschilt, althans qua uiterlijk, van de overige alternatieven die kunnen worden gedownload in de Android-applicatiewinkel. Volgens sommige statistische onderzoeken nar is gevonden in programma’s die tot zeer uiteenlopende categorieën behoren, in de meeste gevallen geframed als hulpmiddelen (vooral antivirus applicatie), maar ook in personalisatie-, messaging- en fotografietoepassingen; aan de andere kant is de aanwezigheid in fitnessprogramma’s zeldzamer.
Hoe joker werkt
Check Point-onderzoekers legden uit hoe de nieuwste varianten van nar: de laatste bouwt eerst zijn eigen Nuttige lading en voegt het toe aan het Android-manifestbestand (dat aanwezig is in elke app en bedoeld is om Android wat informatie te sturen met betrekking tot de app zelf, zoals naam, pictogram en machtigingen); Vervolgens wordt de applicatie onderworpen aan evaluatie en controle door Google en het is op dit moment dat nar is “inactief”, tenminste totdat het programma volledige en noodlottige goedkeuring krijgt. Dit brengt ons bij de laatste fase, vertegenwoordigd door het opladen van de kwaadaardige lading. In versies van nar ontdekkingen eind juli, merkten beveiligingsonderzoekers ook op dat het virus gebruik maakte van URL-verkortingsservices (zoals TinyURL, bit.ly, Rebrand.ly, zws.im, 27url.cn) om de echte URL’s van cloudservices te verbergen. Dit is een extra tactiek die door cybercriminelen wordt geïmplementeerd als reactie op de nieuwste beveiligingsmaatregelen die door Google zijn geïmplementeerd.
eenmaal op het werk nar voorziet verberg elke melding gerelateerd aan de download die u uitvoert vanaf externe servers. Het virus heeft in feite volledige machtigingen om te lezen, maar ook om sms’jes te verzenden, die precies nodig zijn voor abonnementsdiensten activeren beheerd door cybercriminelen op de simkaart van de ongelukkige gebruiker. Naast de technische details, is er ook een ander belangrijk onderdeel van de zwendel die door de hackers is ontwikkeld en dat is de promotie van applicaties die nar: hem critici in de Play Store zijn in de meeste gevallen nep en de hoge rating is een duidelijke stimulans om de app te downloaden, die vervolgens pas door Google wordt verwijderd nadat de malware is ontdekt. Dus ogen wijd open.
