Google tar bort 11 appar från Play Store infekterade med Joker-skadlig kod; avinstallera dem nu

falsk Google Play Store, snabbläkning, Google Play Store, adware, skadlig app, dropper app, 27 skadliga appar Google har tagit bort 11 appar från Play Store infekterade med den ökända Joker-skadlig programvaran.

I slutet av förra året såg vi Joker-skadlig programvara och spridas som en löpeld. Den senaste rapporten från Check Powers forskare har upptäckt en ny variant av spionprogramvaran Joker Dropper och Premium Dialer i Google Play Store. Dessa hittades gömma sig i till synes legitima applikationer. Denna nya uppdaterade Joker-skadlig kod kan ladda ner ytterligare skadlig kod till enheten, som i sin tur prenumererar på ett antal premiumtjänster utan deras samtycke.

Under tiden har Google tagit bort 11 appar från Play Store som är infekterade med den ökända Joker-skadlig programvaran. Applikationerna inkluderar com.imagecompress.android, com.relax.relaxation.androidsms, com.cheery.message.sendsms (två olika instanser), com.peason.lovinglovemessage, com.contact.withme.texts, com.hmvoice.friendsms , com.file.recovefiles, com.LPlocker.lockapps, com.remindme.alram och com.training.memorygame.

Joker-skadlig kod: Allt du behöver veta

Forskarna har sagt att Joker-skadlig programvara med små ändringar av sin kod kommer förbi Play-butikens säkerhets- och kontrollbarriärer. Den här gången har Joker-malware antagit en gammal teknik från det konventionella PC-hotlandskapet för att undvika upptäckt av Google. Det nyligen modifierade Joker-viruset använder två huvudkomponenter för att prenumerera, appanvändare på premiumtjänster. Dessa komponenter är: Notification Listener-tjänst och dynamisk dex-fil laddad från C&C-servern.

För att minimera Joker-koden gömde utvecklaren koden genom att dynamiskt ladda den i en dex-fil, samtidigt som den säkerställde att den kan ladda helt när den utlöses. Koden inuti dex-filen är kodad som Base64-kodade strängar som startar avkodning och laddning så snart offret öppnar de berörda apparna.

LÄS OCH | Vad är Joker-skadlig programvara som påverkade appar i Google Play Store?

Den ursprungliga Joker-skadlig programvaran kommunicerade med C&C och laddade sedan ner den dynamiska dex-filen, som laddades som casses.dex. Den nya modifierade versionen av koden är emellertid inbäddad i en annan zon, där filen classes.dex laddar en ny nyttolast. Skadlig kod utlöses genom att skapa ett nytt objekt som kommunicerar med C&C.

Läs också: Google tar bort över 1 700 appar som påverkas av Joker-skadlig programvara från Play Store

”Den nya metoden är mycket mer komplex jämfört med processen för den ursprungliga Joker-skadlig programvaran. Det kräver att en .dex-fil läser en manifestfil och sedan börjar avkoda nyttolasten. När nyttolasten avkodas laddar den sedan en ny .dex-fil och infekterar sedan enheten, säger Lalit Wadhwa, en Android-apputvecklare på Jungle Works. indianexpress.com.

Enligt Check Point-rapporten var Base64-strängarna placerade i en intern klass istället för att läggas till i filen Manifest. Det betyder att den skadliga koden bara behövde enheten för att läsa strängarna, avkoda dem och sedan ladda reflektionen för att infektera.

Joker-skadlig programvara: Vad det gör, vilka alla appar är infekterade och hur man fixar det

På grund av att nyttolasten var dold i Base 64-strängar var det enda som skådespelaren behövde göra för att dölja filen att ställa in C&C-servern för att returnera “falskt” på statuskoden om tester kördes.

Check Point rekommenderar att du kontrollerar alla dina appar noggrant och ser om de kommer från en icke-betrodd utvecklare. Om du känner att du har laddat ner en infekterad fil bör du omedelbart avinstallera den. Då bör du kontrollera dina mobil- och kreditkortsräkningar för eventuella oegentligheter. Om det pratar med banken och avslutar prenumerationen på dessa avgifter. Slutligen rekommenderas att användare installerar ett antivirusprogram på sina smartphones för att förhindra infektioner.

© IE Online Media Services Pvt Ltd.

Relaterade Artiklar

Back to top button