В сентябре текущего года была зафиксирована повышенная активность мобильного трояна Joker, сообщает портал Ars Technica со ссылкой на ИБ-исследователей. Этот вирус атакует пользователей Android с 2016 года, а в последнее время его все чаще называют одной из самых распространенных угроз для этой операционной системы.
Известно, что Joker прячется внутри других приложений.
После установки на смартфон пользователя он тайно подписывает его на дорогие сервисы с ежемесячной оплатой. Кроме того, зловред может перехватывать SMS-сообщения, список контактов и информацию об устройстве.
В конце июля эксперты по кибербезопасности отчитались об обнаружении Joker в 11 приложениях, которые с виду не вызывают подозрений и были скачаны из магазины свыше 500 тыс. раз.
На прошлой неделе компанией Zscaler была обнаружена новая партия приложений с Joker внутри — всего 17 программ с 120 тыс. установок. Эти приложения были загружены в Google Play постепенно в течение сентября. Другая ИБ-фирма Zimperium, в свою очередь, сообщила о выявлении 64 новых сервисов, маскирующих Joker, большинство из которых распространялось через альтернативные магазины.
Как рассказал «Газете.Ru» старший инженер по безопасности мобильных устройств Avast Войтех Бочек, Joker опасен тем, что способен загружать дополнительные вредоносные программы.
«Согласно последним отчетам, он скачивает вредоносное ПО, которое тайно подписывает пользователей на платные услуги. Кроме того, вредоносная программа может перехватывать SMS-сообщения, списки контактов и информацию об устройстве.
Успех Joker в терпеливом подходе его авторов — вредоносные приложения обычно работают как рекламное ПО, поэтому жертвы ничего не подозревают, в то время как приложения загружают вредоносный код в фоновом режиме.
В некоторых случаях приложения Joker даже не были вредоносными, когда они впервые были опубликованы в Play Store, фактический вредоносный код был добавлен в последующем обновлении», — сообщил Бочек.
Эксперт добавил, что, прежде чем загружать любое приложение, важно проверить запрашиваемые разрешения и понять, нужны ли они для полноценной работы. Также следует установить антивирусное программное обеспечение на все свои устройства.
За последние несколько лет вредонос Joker неоднократно был обнаружен в составе большого количества зараженных приложений в Google Play Store, подтверждает Сергей Забула, руководитель группы системных инженеров по работе с партнерами, Check Point Software Technologies в России.
«Сложность заключается в том, что это вредоносное ПО постоянно совершенствует свою технику маскировки, чтобы оставаться незамеченным службами безопасности магазинов приложений и выдавать себя за легитимное приложение, используя доверие пользователей к официальному магазину ПО. Так, недавно, специалисты Check Point выявили новый способ проникновения вредоноса на устройства Android. Joker скрывал вредоносный код в корневой папке приложения и загружал вредоносную полезную нагрузку только после проверки Google Play Store», — заявил эксперт.
По словам Забулы, если вы заметили нетипичную активность на вашем устройстве, немедленно удалите подозрительное приложение и проверьте свои счета. Для предотвращения потенциальных атак необходимо использовать решения для защиты конечных точек.
«Данное вредоносное ПО выявляет главные риски для пользователей открытых мобильных платформ семейства Android, пренебрегающих антивирусной защитой устройства. Несмотря на то что троян известен еще с конца 2016 года, в сентябре 2020 он возобновил активность, — сообщил «Газете.Ru» директор департамента ИБ компании Oberon Евгений Суханов. — Хитрость Joker заключается в механизме инфицирования устройства. В известные приложения встраивается «бэкдор», несколько строчек кода, который запускает скачивание «тела» вируса через несколько часов (а то и дней) после установки программы. По завершении скачивания вирусное ПО получает доступ к операционной системе мобильного устройства — это позволяет отправлять SMS-сообщения, скрывать их, подписывать пользователя на платные услуги, красть данные».
Несмотря на строгие требования Google к анализу исходного кода приложений перед их публикацией в Play Market, статистика показывает, что некоторым скомпрометированным программам иногда удаётся «официально опубликоваться».
Помимо этого, операционные системы Android позволяют устанавливать приложения из сторонних магазинов, существенно повышая риски пользователей.
«Ущерб от действий Joker у пользователя в большинстве случаев не получится компенсировать, так как подключение платных сервисов вредоносным ПО было легитимно, а следовательно услуга оказана — пользуйтесь. Обладателям мобильных устройств с Android следует руководствоваться следующими принципами: использовать приложения только из официального магазина и от проверенных издателей, а также установить антивирусное ПО на мобильное устройство, ведь Joker известен с 16 года, а значит легко определяется», — заключил Суханов.
Маргарита Герасюкова