ПО Joker обошло проверку Google Play “усыпив” вредоносную полезную нагрузку и активировав ее только после появления приложения в Play Store.
https://www.securitylab.ru/upload/ib...baf120355d.jpg
В Google Play Store обнаружили новые троянизированные приложения, распространяющие печально известное вредоносное ПО Joker на скомпрометированных устройствах Android. Joker относится к классу вредоносных приложений, которые используются для биллинга и SMS-мошенничества, а также выполняют ряд действий по выбору злоумышленника, таких как кража текстовых сообщений, списков контактов и информации об устройстве.
Несмотря на постоянные попытки Google усилить свою защиту, вредоносные приложения постоянно обновляются, находят бреши и пробираются в Play Store незамеченными.
"Троянцы семейства Trojan.AndroidOS.Jocker умеют перехватывать коды из SMS и обходить антифрод-решения. Обычно эти зловреды распространяются через Google Play: злоумышленники скачивают из магазина «чистые» приложения, добавляют в них вредоносный код и загружают в магазин под другим именем. В большинстве случаев модифицированные приложения выполняют свои оригинальные функции, и пользователь не догадывается об источнике угрозы.", – сказал в отчете Игорь Головин, исследователь из Лаборатории Касперского.
Троянизированные приложения занимают места удаленных аналогов, которыми часто оказываются мессенджеры, приложения для отслеживания артериального давления и сканирования документов с помощью камеры телефона, после установки запрашивающие разрешение на доступ к текстовым сообщениям и уведомлениям, злоупотребляя ими для подписки пользователей на премиум-услуги.
Чтобы вновь обойти защиту Google Play, ПО Joker использовало хитрый трюк – “усыпление” вредоносной функциональности до публикации приложения в Play Store.