Este malware de fraude de cobrança ignora
as proteções da Google Play Store, novamente, tendo como alvo aplicativos de
aparência legítima; 11 aplicativos infectados já foram removidos
Os pesquisadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora global líder em
soluções de cibersegurança, continuam acompanhando as atividades do
malware de fraude de cobrança Joker, o qual conseguiu se esquivar das
proteções da Google Play Store. Rastreado pela primeira vez em 2017, este
malware é um spyware e discador premium que se esconde em aplicativos
aparentemente legítimos. Eles descobriram que esta versão atualizada do Joker
efetuou o download de malware adicional no dispositivo móvel, o qual inscreve a
vítima em serviços premium sem seu conhecimento ou consentimento.
O Google descreveu essa operação do Joker como
uma das ameaças mais persistentes com as quais lidou nos últimos anos, afirmando que "usou quase todas as técnicas de camuflagem e
ofuscação na tentativa de essa operação passar despercebida". Os
pesquisadores da Check Point divulgaram com responsabilidade suas descobertas
ao Google. Todos os aplicativos relatados (11 aplicativos) foram removidos
da Play Store até 30 de abril de 2020.
O pesquisador de dispositivos e aplicativos
móveis da Check Point, Aviran Hazum, identificou o novo método utilizado
por este malware. Dessa vez, o Joker oculta o código malicioso dentro do
arquivo chamado "Android Manifest" de um aplicativo legítimo. Todo
aplicativo deve ter um arquivo de manifesto do Android em seu diretório raiz. O
arquivo de manifesto fornece informações essenciais sobre um aplicativo - como
nome, ícone e permissões para o sistema Android - que o sistema deve ter para
poder executar qualquer código do aplicativo. Dessa forma, o malware não
precisa acessar um servidor C&C (Command & Control), que é um
computador controlado por um cibercriminoso usado para enviar comandos a
sistemas comprometidos por malware, para baixar o payload que é a parte do
malware que executa a ação maliciosa.
Segundo Hazum, o novo método do Joker envolve
três etapas:
1. Criar primeiro a carga (payload):
O Joker constrói sua carga com antecedência, inserindo-a no arquivo de
manifesto do Android.
2. Ignorar o carregamento de payload:
Durante o período de avaliação dos pesquisadores, observou-se que o Joker nem
tenta carregar o payload malicioso, o que facilita muito a ele ignorar as
proteções da Google Play Store.
3. O malware se espalha: Após a aprovação,
a campanha começa a funcionar com payload malicioso resolvido e
carregado.
|
Aplicativo infectado pelo Joker no Google Play
"O Joker está adaptado. Nossas descobertas
indicam que as proteções da Google Play Store não são suficientes. Conseguimos
detectar vários casos de uploads do Joker semanalmente na loja virtual, todos
baixados por usuários incautos. O malware Joker é difícil de ser detectado, apesar
do investimento do Google em adicionar proteções da Play Store. Embora o Google
tenha removido os aplicativos maliciosos da Play Store, podemos esperar que o
Joker se adapte novamente e deveremos ter tempo para entender o que este
malware é e como impacta negativamente as pessoas comuns", explica Hazum.
Lista de aplicativos: em relação à contagem
de downloads, a Check Point não tem dados precisos, porém estima que esses
aplicativos atingiram mais de 500 mil downloads (estimativa):
Se o usuário suspeita que pode ter um desses
aplicativos infectados em seu dispositivo, seguem as dicas para se livrar deste
malware:
· Desinstalar o aplicativo infectado do
dispositivo.
· Verificar as faturas do celular e do cartão de
crédito para apurar se houve a inscrição em alguma assinatura e, se possível,
cancelar essa inscrição.
· Instalar uma solução de segurança para evitar
infecções futuras.
A Check Point possui soluções para proteger
empresas e usuários de ciberataques móveis sofisticados, como o
produto corporativo SandBlast Mobile ; e para proteção de dispositivos móveis pessoais,
consulte informações do produto ZoneAlarm Mobile Security .
Check Point Software Technologies Ltd.
Twitter: https://twitter.com/_cpresearch_
https://blog.checkpoint.com/
https://www.twitter.com/checkpointsw
https://www.facebook.com/checkpointsoftware
https://www.youtube.com/user/CPGlobal
https://www.linkedin.com/company/check-point-software-technologies
Nenhum comentário:
Postar um comentário