В Google Play Store обнаружили новые троянизированные приложения, распространяющие печально известное вредоносное ПО Joker на скомпрометированных устройствах Android. Joker относится к классу вредоносных приложений, которые используются для биллинга и SMS-мошенничества, а также выполняют ряд действий по выбору злоумышленника, таких как кража текстовых сообщений, списков контактов и информации об устройстве. Несмотря на постоянные попытки Google усилить свою защиту, вредоносные приложения постоянно обновляются, находят бреши и пробираются в Play Store незамеченными. «Трояны семейства Trojan.AndroidOS.Jocker умеют перехватывать коды из SMS и обходить антифрод-решения. Обычно эти зловреды распространяются через Google Play: злоумышленники скачивают из магазина «чистые» приложения, добавляют в них вредоносный код и загружают в магазин под другим именем. В большинстве случаев модифицированные приложения выполняют свои оригинальные функции, и пользователь не догадывается об источнике угрозы.», – сказал в отчете Игорь Головин, исследователь из Лаборатории Касперского. Троянизированные приложения занимают места удаленных аналогов, которыми часто оказываются мессенджеры, приложения для отслеживания артериального давления и сканирования документов с помощью камеры телефона, после установки запрашивающие разрешение на доступ к текстовым сообщениям и уведомлениям, злоупотребляя ими для подписки пользователей на премиум-услуги. Чтобы вновь обойти защиту Google Play, ПО Joker использовало хитрый трюк – “усыпление” вредоносной функциональности до публикации приложения в Play Store. Ниже перечислены три приложения, зараженные Joker и обнаруженные специалистами из Лаборатории Касперского к концу февраля 2022 года. Зараженные приложения были удалены из Google Play, но по-прежнему доступны на сторонних маркетплейсах приложений.
Style Message (com.stylelacat.messagearound);
Blood Pressure App (blood.maodig.raise.bloodrate.monitorapp.plus.tracker.tool.health);
Camera PDF Scanner (com.jiao.hdcam.docscanner).
«Трояны-подписчики умеют обходить защиту от ботов на сайтах платных услуг, а иногда подписывают пользователя на собственные несуществующие услуги. Чтобы избежать нежелательных подписок, старайтесь не устанавливать приложения из неофициальных источников: именно через них чаще всего распространяются зловреды. При установке приложений из Google Play также стоит проявлять внимательность: читать отзывы, узнавать информацию о разработчике, условия использования и оплаты. В частности, для отправки SMS лучше выбирать приложения с большой историей и положительными отзывами»», – подвел итог отчета Илья Головин. Это не первый случай обнаружения троянов-подписчиков на маркетплейсах приложений. Мы ранее писали, что в сентябре 2021 года компания Zimperium раскрыла схему GriftHorse , а в январе этого года был выявлен еще один случай злоупотребления подписками на премиум-услуги под названием Dark Herring .