На Google Play найдено больше десятка приложений, загружающих троянскую программу Joker. С этим Android-зловредом Google борется уже несколько лет, но его создатели проявляют большое упорство и изобретательность, вновь и вновь обходя все проверки в магазине, чтобы вернуть свое детище на прилавок.
Троян Joker, он же Bread, появился на интернет-арене в 2017 году. К началу 2020-го Google совокупно удалила более 1,7 тыс. приложений, зараженных с целью распространения зловреда, а в минувшем сентябре его дважды пришлось изгонять из магазина.
Эта вредоносная программа примечательна тем, что скрытно оформляет подписку на премиум-услуги. Она также умеет перехватывать СМС, воровать конфиденциальные данные и список контактов, устанавливать бэкдор, генерировать фейковые отзывы, навязчиво показывать рекламу.
Для обхода защиты Google Play авторы Joker применяют различные уловки, привнося изменения в код. Так, два года назад исследователи из Trend Micro обнаружили, что троян стал прятать полезную нагрузку на GitHub. Анализ зараженных программ, найденных в этом году, показал, что зловред начал обращаться к C2-серверу, используя возможности Google-платформы Firebase. Такое поведение демонстрировали следующие приложения (уже удалены из магазина):
- com.daynight.keyboard.wallpaper (Keyboard Wallpaper)
- com.pip.editor.camera2021 (PIP Photo Maker 2021) com.light.super.flashlight
- (Flashlight) com.super.color.hairdryer (Sound Prank Hair Clipper, Fart, Crack Screen
- Prank) com.super.star.ringtones (Pop Ringtones) org.my.favorites.up.keypaper
- com.hit.camera.pip com.ce1ab3.app.photo.editor cool.girly.wallpaper
- (SubscribeSDK; найден на VirusTotal) com.photo.modify.editor (Picture Editor)
- com.better.camera.pip (PIP camera – Photo Editor) com.face.editor.photo (Photo
- Editor) com.background.wallpaper.keyboard (Keyboard Wallpaper)
Как оказалось, авторы Joker также сменили полезную нагрузку и теперь используют дроппер. Его код сильно обфусцирован, каждая строка кодируется по base64, а затем применяется шифр AES. Ключ для расшифровки зловред запрашивает с C2-сервера.
Примечательно, что, попав на устройство, дроппер также собирает и отправляет своим хозяевам метаданные — информацию об источнике ссылки (рефере). Это навело исследователей на мысль, что Google Play в данном случае лишь один из каналов распространения инфекции.
После запуска основного модуля Joker собирает данные о зараженном устройстве и номер телефона. После этого он скачивает с C2-сервера код JavaScript и URL премиум-сервиса, а также создает в Actibity контейнер WebView для загрузки целевой страницы. Сценарий JavaScript при этом используется для автоматического оформления подписки.
Сайты, в пользу которых работает Joker, находятся в разных регионах и оформлены на различных языках — английском, немецком, португальском, испанском, арабском, тайском. Некоторые из них используют CAPTCHA, но зловред с успехом ее обходит. Каким образом его операторы извлекают выгоду из этого поведения, непонятно: все эти премиум-сервисы не предусматривают выплат за привлечение подписчиков. Однако повелителям Joker, по всей видимости, это зачем-то нужно, раз они так упорно стремятся сохранить все присутствие на Google Play.