Plus d’applications de logiciels malveillants Joker jeté hors Google Play Store

Google a supprimé 11 applications malveillantes infectées par le fameux joker de facturation malware fraude de l’App Store Android Google Play suite à un conseil-off des experts en logiciels malveillants à Check Point.

Joker a été identifié et suivi pour la première fois il y a trois ans et est décrit par Google comme l’une des menaces les plus persistantes auxquelles il a dû faire face depuis 2017. Ses codeurs ont utilisé « à peu près toutes les techniques de camouflage et d’obscurcissement sous le soleil » pour essayer de le jeter de l’odeur.

Joker est une combinaison de logiciels espions et d’application de dialler premium qui se cache à l’intérieur d’applications légitimes, par exemple des téléchargements apparemment inoffensifs papier peint.

Toutefois, une fois installé sur l’appareil de sa victime, il peut accéder aux notifications, lire et envoyer des SMS. Il utilise ces capacités pour souscrire les victimes à des services à taux préférentiel.

Selon Aviran Hazum de Check Point, qui a été sur sa piste pendant un certain temps, Joker a récemment eu une mise à jour et déploie maintenant une nouvelle méthode par laquelle il cache le code malveillant à l’intérieur du fichier Android Manifest d’une application authentique.

Le fichier Android Manifest contient des informations essentielles sur l’application, telles que son nom, son icône et ses autorisations – des informations qu’il doit fournir au système Android de l’appareil cible avant qu’il puisse exécuter l’un de ses codes.

Ce faisant, a déclaré Hazum, Joker n’a pas besoin d’accéder à un serveur de commande et de contrôle (C2) afin de télécharger sa charge utile malveillante, parce que la charge utile est maintenant préconstrue et prêt à aller. Cela a pour effet de rendre beaucoup plus facile pour Joker de glisser inaperçu passé les protections du Google Play Store.

« Le Joker s’est adapté, » dit Hazum.  » Nous l’avons trouvé caché dans le fichier « informations essentielles » que chaque application Android est tenue d’avoir. Nos dernières constatations indiquent que les protections du Google Play Store ne suffisent pas. Nous avons été en mesure de détecter de nombreux cas de téléchargements Joker sur une base hebdomadaire sur Google Play, qui ont tous été téléchargés par des utilisateurs sans méfiance.

« e malware Joker est difficile à détecter, malgré l’investissement de Google dans l’ajout de protections Play Store. Bien que Google ait supprimé les applications malveillantes du Play Store, nous pouvons nous attendre à ce que Joker s’adapte à nouveau. Tout le monde devrait prendre le temps de comprendre ce qu’est le Joker et comment il blesse les gens de tous les jours.

Hazum a conseillé aux utilisateurs d’Android ce qu’ils doivent faire s’ils estiment avoir une application infectée par Joker sur leur appareil. Tout d’abord, désinstallez l’application immédiatement, avant de vérifier les factures de carte mobile et de crédit pour voir si vous avez été inscrit à des abonnements que vous ne reconnaissez pas, et soyez prêt à annuler et / ou contester ceux-ci. Si vous le souhaitez, il peut également être conseillé d’installer un service de sécurité mobile sur l’appareil pour se prémunir contre les infections futures – plusieurs services sont disponibles.

Check Point a révélé l’existence des 11 applications compromises à Google par le biais de son programme de divulgation, et elles ont été supprimées au plus bas le 30 avril 2020.