Trojan z Google Play okradał użytkowników. The Joker był w 24 aplikacjach

Trojan został nazwany The Joker. Po zainfekowaniu smartfonu bez wiedzy użytkownika ściąga komponent, przeprowadzający drugi etap ataku. Ten szkodliwy program przechwytuje SMS-y, listę kontaktów i informacje o smartfonie. Ponadto symuluje klikanie w reklamy i jest w stanie zapisać cię do usług premium.

Analitycy podają, że w Danii Joker zapisywał użytkowników do usług Premium o wartości do 50 koron (30 zł) tygodniowo. Robił, podając na stronach z takimi ofertami kody, przysłane SMS-em. Proces był całkowicie ukryty przed właścicielem smartfonu, a opłaty doliczane do rachunku. Dopiero szczegółowy wykaz opłat za telefon pokazywał straty pieniężne.

The Joker atakuje smartfony w wybranych krajach, w tym w Polsce. W zainfekowanych aplikacjach znajdowały się listy kodów kierunkowych krajów. Trojan ściągał program atakujący tylko wtedy, gdy działał na smartfonie z kartą SIM z kraju z tej listy.

Poza Polską atakowane były smartfony między innymi w Austrii, Francji, Niemczech, Wielkiej Brytanii i na Ukrainie. W sumie aplikacje wskazywały 37 krajów. Pierwsze ślady jego działań datowane są na czerwiec 2019 roku, ale możliwe, że był używany w starszych kampaniach.

W niektórych aplikacjach widoczne były mechanizmy zabezpieczające przed uruchomieniem szkodliwego programu w USA i Kanadzie. Z drugiej strony, The Joker w każdej chwili mógł otrzymać polecenie od serwera kontrolującego przez internet i wykonać dostarczony skrypt w języku JavaScript. To sprawia, że szkodnika trudniej wykryć w Google Play – szkodliwe funkcje nie są stałą częścią, więc nie można ich wykryć przy analizie aplikacji.

Trojan był umieszczony w systemie wyświetlania reklam aplikacji lub był włączany, gdy aplikacja pokazywała ekran powitalny. Komunikacja z serwerem kontrolującym została zredukowana do minimum. Dodatkowo wszystkie ślady Trojana zostały dobrze zamaskowane.

Trojan atakuje kraje z różnych kontynentów. Specjaliści podejrzewają, że The Joker pochodzi z Chin. Wskazują na to fragmenty kodu trojana, gdzie znajdują się komentarze napisane między innymi po chińsku.

Możliwe też, że autorzy tego trojana zastosowali fragmenty kodu z innych ataków i z Chin pochodzi tylko jego część.

The Joker stosuje różne uniki i sposoby maskowania swojej obecności. Nie ma metody obrony, gwarantującej bezpieczeństwo. Możesz nie przydzielać nieznanym aplikacjom uprawnień do powiadomień i SMS-ów – to uchroni przed wykradaniem pieniędzy przez usługi premium. Najlepiej zrobisz, nie instalując aplikacji, których pochodzenia nie znasz i które nie są ci absolutnie niezbędne.

Google relatywnie dobrze poradził sobie z tym zagrożeniem. Zainfekowane aplikacje były usuwane bez bezpośredniej interwencji specjalistów z CSIS Security Group.

Zainfekowane aplikacje to: Advocate Wallpaper, Age Face, Altar Message, Antivirus Security - Security Scan, Beach Camera, Board picture editing, Certain Wallpaper Climate SMS, Collate Face Scanner, Cute Camera, Dazzle Wallpaper, Declare Message, Display Camera, Great VPN, Humour Camera, Ignite Clean, Leaf Face Scanner, Mini Camera, Print Plant scan, Rapid Face Scanner, Reward Clean, Ruddy SMS, Soby Camera, Spark Wallpaper. Jeśli masz którąś z nich, natychmiast ją usuń.