۱۶ برنامه در فروشگاه Google Play گرفتار بدافزار Joker شدند

اثبات شده است که بدافزار Joker، یک بدافزار با تقلب در صورتحساب، تهدیدی همیشگی برای Google Android است. با وجود تلاش‌های بی وقفه این شرکت، هنوز در برنامه‌های موجود در فروشگاه Play این بدافزار یافت می‌شود. در ماه سپتامبر، گوگل شش برنامه را که به بدافزار Joker آلوده بودند، حذف کرد، که توسط شرکت امنیت سایبری پرادئو شناسایی شده بودند. این برنامه‌ها در مجموع ۲۰۰۰۰۰ دانلود داشتند اما در جولای ۲۰۲۰، بدافزار Joker بار دیگر در فروشگاه Play مشاهده شد.

گوگل ۱۶ برنامه دیگر را به همین دلیل حذف کرده است. این برنامه‌ها در ماه سپتامبر در فروشگاه Play بارگذاری شدند و ۱۲۰٬۰۰۰ دانلود داشتند.

Zcaler’s Viral Gandhi توضیح داد که Joker یک جاسوس افزار است که می‌تواند نشانه‌ها را شبیه سازی کند؛ و این یک نرم افزار جعلی است که برای سرقت لیست مخاطب، پیام کوتاه و اطلاعات دستگاه از تلفن طراحی شده است.

شناسایی بدافزار Joker از آنجا که از حداقل کد استفاده می‌کند، دشوار است. محققان Zscaler سعی کردند بفهمند که چگونه تغییرات آن همچنان غیر قابل پیش بینی است. آن‌ها یاد گرفتند که در بیشتر نسخه نهایی آنها از طریق یک URL مستقیم که از سرور C&C به برنامه‌ها ارسال می‌کند، کد مخرب تحویل داده می‌شود. برنامه‌ها از قبل، آدرس سرور C&C را در کد خود با رمز نگاری پیچیده، پنهان کرده‌اند.

برنامه‌ها خیلی زود پس از نصب و سپس پذیرش URL حاوی پیکربندی نهایی در پوشه JSON، با سرور C&C تماس می‌گیرند که این پرونده شامل اطلاعاتی در مورد نام کلاس است که برای اجرای خود از طریق اطلاعات این نام کلاس مورد نیاز است. پس از دریافت پیکربندی، برنامه نسخه نهایی را بارگیری و اجرا می‌کند.

برخی از برنامه‌ها از مکانیسم‌های بارگیری تک مرحله‌ای استفاده می‌کنند که در آن یک URL با استفاده از کد رمزگذاری مرحله به مرحله رمزگذاری شده و با آن بارگذاری می شوند؛ بنابراین برنامه پس از آلوده سازی دستگاه، به جای دانلود مرحله نهایی، موارد دانلود شده درشبیه ساز که رمزگذاری شده اند را بارگیری می‌کند تا موارد مورد نیاز را بازیابی و اجرا کند.

روش سومی وجود دارد که برخی از برنامه‌ها برای اجرای موارد ارسالی استفاده می‌کنند. این‌یک روش پیچیده است که شامل یک مرحله اضافی قبل از بازیابی بار از سرور C&C است. محققان همچنین اشاره کردند که علیرغم تغییرات مختلف، محموله جوکر در کل ثابت بود و عملکردهای مشابهی را انجام داد.

توصیه می‌کنیم در برنامه‌هایی که روی دستگاه Android خود نصب می‌کنید، به لیست مجوز توجه زیادی داشته باشید. همیشه مراقب مجوزهای پرخطر مربوط به پیام کوتاه، گزارش تماس‌ها، مخاطبین و موارد دیگر باشید. همچنین خواندن نظر یا بررسی صفحه برنامه، به شناسایی برنامه‌های در معرض خطر کمک می‌کند.

در اینجا فهرستی کامل از برنامه‌های جمع‌آوری‌شده توسط محققان وجود دارد:

Private SMS
Care Message
Part Message
Blue Scanner
Desire Translate
Direct Messenger
Paper Doc Scanner
Tangram App Lock
Style Photo Collage
Meticulous Scanner
All Good PDF Scanner
Talent Photo Editor – Blur focus
Mint Leaf Message-Your Private Message
Hummingbird PDF Converter – Photo to PDF
Unique Keyboard – Fancy Fonts & Free Emoticons
One Sentence Translator – Multifunctional Translator
Zscaler

در مورد برنامه‌های آلوده به بدافزار Joker به Google اطلاع داده شد و گروه IT این شرکت بلافاصله آن‌ها را حذف کرد.