Google удалил восемь приложений из своего магазина Google Play, которые распространяли новый вариант шпионского ПО Joker, но не раньше, чем они уже собрали более 3 миллионов загрузок.
Французский исследователь безопасности Максим Инграо из фирмы по кибербезопасности Evina обнаружил вредоносное ПО, которое он назвал Autolycos, которое может подписывать пользователей на премиум-сервис, а также получать доступ к SMS-сообщениям пользователей. Согласно сообщению, которое он сделал в Twitter на прошлой неделе. Этот тип вредоносного ПО, в котором вредоносные приложения подписывают пользователей на премиум-сервисы без их ведома или согласия на сбор платежей, называется вредоносным ПО для платного мошенничества или, чаще всего, fleeceware.
[БЕСПЛАТНОЕ мероприятие по запросу: присоединяйтесь к Зейну Бонду из Keeper Security в круглом столе Threatpost и узнайте, как безопасно получать доступ к своим машинам из любого места и обмениваться конфиденциальными документами из вашего домашнего офиса. СМОТРИТЕ ЗДЕСЬ.]
Инграо сказал, что с июня 2021 года он обнаружил восемь приложений на сайте, распространяющих Autolycos, которые набрали несколько миллионов загрузок. Киберпреступники, стоящие за Autolycos, используют страницы Facebook и размещают рекламу в Facebook и Instagram для продвижения вредоносного ПО, сказал он.
«Например, было 74 рекламные кампании для вредоносного ПО Razer Keyboard & Theme», — написал Инграо в Твиттере в одном из последующих постов, описывающих, как работает вредоносное ПО.
Джокер снова едет
Ingrao сравнил вредоносное ПО с Joker, шпионским ПО, обнаруженным в 2019 году, которое также тайно подписывало людей на премиальные услуги и крало SMS-сообщения, среди других гнусных действий.
Действительно, при дальнейшем изучении исследователи из Malwarebytes считают, что вредоносное ПО является новым вариантом Joker — то, что Malwarebytes называет «Android / Trojan.Spy.Joker-Исследователь разведки Malwarebytes Питер Артнц в посте , опубликованном на следующий день после откровения Ingrao.
Joker был первым крупным семейством вредоносных программ, специализирующихся на флисовом ПО, согласно Malwarebytes. Троянец будет прятаться в рекламных фреймворках, используемых распространяющими его вредоносными приложениями; эти платформы агрегируют и обслуживают рекламу в приложении.
После установки приложений с Joker они показывали экран-заставку, на котором отображался логотип приложения, чтобы сбрасывать жертв при выполнении различных вредоносных процессов в фоновом режиме, таких как кража SMS-сообщений и списков контактов, а также мошенничество с рекламой и регистрация людей на подписки без их ведома.
Разница в исполнении
Одно различие между оригинальным Джокером и Autolycos, однако, было указано Ingrao. Никаких веб-просмотров, подобных #Joker, а только http-запросы», — написал он в Твиттере.
«Он извлекает JSON (Java Script Object Notation) по адресу C2: 68.183.219.190/pER/y», — сказал Инграо об Autolycos в твиттере. «Затем он выполняет URL-адреса, для некоторых шагов он выполняет URL-адреса в удаленном браузере и возвращает результат, чтобы включить его в запросы».
Артнц из Malwarebytes также объяснил эту разницу далее в своем посте. В то время как Джокер использовал веб-просмотры — или часть веб-контента, такого как «крошечная часть экрана приложения, целая страница или что-то среднее», — чтобы сделать свою грязную неделю, Autolycos избегает этого, выполняя URL-адреса в удаленном браузере, а затем включая результат в HTTP-запросы, пишет он.
Это помогает Autolycos избежать обнаружения еще более искусно, чем оригинальный Joker, по словам Артнца из Malwarebytes. «Отсутствие требования к WebView значительно снижает вероятность того, что пользователь затронутого устройства заметит что-то подозрительное», — написал он.
Время задержки при обнаружении и удалении приложений
Восемь приложений, в которых Ingrao обнаружил Autolycos:
- Видеоредактор Vlog Star (com.vlog.star.video.editor) – 1 миллион загрузок
- Creative 3D Launcher (app.launcher.creative3d) – 1 миллион загрузок
- Wow Beauty Camera (com.wowbeauty.camera) – 100 000 загрузок
- Gif Emoji Keyboard (com.gif.emoji.keyboard) – 100 000 загрузок
- Камера Freeglow 1.0.0 (com.glow.camera.open) – 5 000 загрузок
- Coco Camera v1.1 (com.toomore.cool.camera) – 1 000 загрузок
- Забавная камера от KellyTech – 500 000 загрузок
- Razer Keyboard & Theme от rxcheldiolola – 50 000 загрузок.
В то время как Ingrao обнаружил оскорбительные приложения в июле 2021 года и быстро сообщил о них в Google, он сказал BleepingComputer , что компании потребовалось шесть месяцев, чтобы удалить шесть приложений. Более того, Google окончательно удалил последние два только 13 июля, сообщает Malwarebytes.
Артнц критически отозвался о времени задержки между обнаружением и удалением, хотя он не размышлял о причине, отметив только, что «небольшая площадь и замаскированное использование API должны затруднить поиск вредоносных приложений среди множества приложений, которые можно найти в Google Play Store».
«Возможно, [вредоносные приложения] все еще были бы доступны, если бы исследователь не стал публичным, потому что он сказал, что устал ждать», — написал Артнц.
Google не сразу ответил на запрос о комментариях в понедельник. Действительно, компания имеет легендарную историю борьбы за то, чтобы вредоносные приложения, в частности флисовые, не попадали в свой магазин мобильных приложений для платформы Android.
[БЕСПЛАТНОЕ мероприятие по запросу: присоединяйтесь к Зейну Бонду из Keeper Security в круглом столе Threatpost и узнайте, как безопасно получать доступ к своим машинам из любого места и обмениваться конфиденциальными документами из вашего домашнего офиса. СМОТРИТЕ ЗДЕСЬ.]