Malware Joker yang Diperbarui Membanjiri Aplikasi Android

  • Whatsapp
Malware Joker yang Diperbarui Membanjiri Aplikasi Android

 

Virus seluler Joker telah masuk kembali ke Google Play dengan peningkatan aplikasi Android berbahaya yang menutupi perangkat lunak penipuan penagihan, menurut para peneliti. Ini juga menggunakan teknik baru untuk melampaui proses pemeriksaan aplikasi Google.
Joker telah bersembunyi di balik bayang-bayang program asli termasuk aplikasi kamera, game, messenger, editor gambar, penerjemah, dan wallpaper sejak 2017. Setelah diinstal, aplikasi Joker diam-diam mensimulasikan klik dan mencegat pesan SMS untuk mendaftarkan korban ke layanan premium berbayar yang tidak diinginkan dikendalikan oleh penyerang – semacam penipuan penagihan yang dikenal sebagai “fleeceware”.
Aplikasi Joker berbahaya tersedia secara luas di luar toko resmi Google Play, dan mereka telah lolos dari pengamanan Google Play sejak 2019. Hal ini sebagian besar disebabkan oleh modifikasi konstan pengembang malware dari pendekatan serangan mereka. Akibatnya, gelombang infeksi Joker secara berkala telah terjadi di dalam toko resmi, termasuk dua wabah besar tahun lalu.
Lebih dari 1.800 aplikasi Android yang terinfeksi Joker telah dihapus dari pasar Google Play dalam empat tahun sebelumnya, menurut pakar Zimperium. Sejak September, setidaknya 1.000 sampel baru telah ditemukan dalam gelombang terbaru, dengan banyak dari mereka masuk ke pasar yang sah.
Menurut analisis Zimperium, “Aktor jahat secara rutin menemukan cara baru dan unik untuk memasukkan malware ini ke toko aplikasi resmi dan tidak resmi. Meskipun mereka tidak pernah bertahan lama di repositori ini, kegigihan menyoroti bagaimana malware seluler, seperti malware titik akhir tradisional, tidak hilang tetapi terus dimodifikasi dan ditingkatkan dalam permainan kucing-dan-tikus yang konstan.
Menurut Zimperium, para pengembang Joker versi terbaru, yang pertama kali muncul pada akhir tahun 2020, menggunakan teknik pengembang yang sah untuk “mencoba dan menyembunyikan maksud sebenarnya dari muatan dari perangkat keamanan seluler tradisional berbasis warisan,” yang memungkinkan mereka untuk menghindari keamanan berbasis perangkat dan perlindungan toko aplikasi.
Flutter, kit pengembangan aplikasi sumber terbuka yang dikembangkan Google yang memungkinkan pengembang membuat aplikasi asli untuk seluler, web, dan desktop dari satu basis kode, adalah salah satu cara mereka mencapainya. Para peneliti menjelaskan, “Karena kesamaan Flutter, bahkan kode aplikasi berbahaya akan terlihat sah dan bersih, sedangkan banyak pemindai mencari kode yang terputus-putus dengan kesalahan atau susunan yang tidak tepat”.
Teknik baru:
Metode anti-deteksi lain yang baru-baru ini diterapkan oleh penggemar Joker, menurut penelitian, adalah kebiasaan menyematkan payload sebagai file a.DEX yang dapat dikaburkan dengan berbagai cara, seperti dienkripsi dengan nomor atau dikubur di dalam gambar. melalui steganografi.
Menurut peneliti, gambar terkadang disimpan di repositori cloud resmi atau di server command-and-control (C2) jarak jauh dalam skenario terakhir. Perilaku baru lainnya termasuk menyembunyikan alamat C2 dengan penyingkat URL dan mendekripsi muatan offline menggunakan campuran pustaka asli.
Sampel baru juga mengambil langkah lebih lanjut untuk tetap rahasia ketika program trojan dimuat, menurut para peneliti. “Setelah instalasi berhasil, aplikasi yang terinfeksi Joker akan menjalankan pemindaian menggunakan Google Play API untuk memeriksa versi terbaru aplikasi di Google Play Store,” jelas peneliti.
“Jika tidak ada jawaban, malware tetap diam karena dapat berjalan pada emulator analisis dinamis. Tetapi jika versi yang ditemukan di toko lebih tua dari versi saat ini, muatan malware lokal dijalankan, menginfeksi perangkat seluler. Jika versi di toko lebih baru dari yang sekarang, maka C2 dihubungi untuk mengunduh versi terbaru dari payload.”
Konsumen dan perusahaan sama-sama berisiko:
Aplikasi muncul di berbagai tempat, termasuk Google Play dan pasar pihak ketiga yang tidak sah, serta saluran sah lainnya, beberapa untuk pertama kalinya. Misalnya, toko aplikasi resmi untuk Huawei Android, AppGallery, baru-baru ini ditemukan terinfeksi virus Joker.
Menurut Doctor Web, aplikasi tersebut diunduh ke lebih dari 538.000 smartphone oleh pengguna yang tidak menaruh curiga pada bulan April.
Saryu Nayyar, CEO di Gurucul, menyatakan dalam email, “Sayangnya, malware Joker bukanlah lelucon. Dan yang lebih menyedihkan, tidak ada ksatria gelap yang akan datang untuk menyelamatkan pengguna dari aplikasi jahat ini. Pengguna harus secara manual membersihkan perangkat mereka dari malware sial ini. Kabar baiknya adalah tampaknya satu-satunya kerusakan adalah finansial dan kemungkinan bersifat sementara. Pengguna yang telah berlangganan layanan seluler premium sebagai akibat dari malware ini dapat meminta pengembalian uang untuk layanan tersebut karena aplikasi yang terpengaruh diketahui.”
Awal tahun ini, Josh Bohls, CEO dan pendiri di Inkscreen, mengatakan bahwa Joker adalah masalah bagi bisnis dan juga orang-orang. “Aplikasi berbahaya ini dapat menemukan jalan mereka ke dalam perusahaan ketika perangkat yang terinfeksi terdaftar dalam program perusahaan bawa perangkat Anda sendiri (BYOD), dan tiba-tiba Anda memiliki vektor ancaman baru,” katanya melalui email.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *