Упрямый Android-зловред Joker опять просочился в Google Play Store

На Google Play найдено больше десятка приложений, загружающих троянскую программу Joker. С этим Android-зловредом Google борется уже несколько лет, но его создатели проявляют большое упорство и изобретательность, вновь и вновь обходя все проверки в магазине, чтобы вернуть свое детище на прилавок.

Троян Joker, он же Bread, появился на интернет-арене в 2017 году. К началу 2020-го Google совокупно удалила более 1,7 тыс. приложений, зараженных с целью распространения зловреда, а в минувшем сентябре его дважды пришлось изгонять из магазина.

Эта вредоносная программа примечательна тем, что скрытно оформляет подписку на премиум-услуги. Она также умеет перехватывать СМС, воровать конфиденциальные данные и список контактов, устанавливать бэкдор, генерировать фейковые отзывы, навязчиво показывать рекламу.

Для обхода защиты Google Play авторы Joker применяют различные уловки, привнося изменения в код. Так, два года назад исследователи из Trend Micro обнаружили, что троян стал прятать полезную нагрузку на GitHub. Анализ зараженных программ, найденных в этом году, показал, что зловред начал обращаться к C2-серверу, используя возможности Google-платформы Firebase.

Такое поведение демонстрировали следующие приложения (уже удалены из магазина):    

• com.daynight.keyboard.wallpaper (Keyboard Wallpaper)
• com.pip.editor.camera2021 (PIP Photo Maker 2021)
• com.light.super.flashlight (Flashlight)
• com.super.color.hairdryer (Sound Prank Hair Clipper, Fart, Crack Screen Prank)
• com.super.star.ringtones (Pop Ringtones)
• org.my.favorites.up.keypaper
• com.hit.camera.pip
• com.ce1ab3.app.photo.editor
• cool.girly.wallpaper (SubscribeSDK; найден на VirusTotal)
• com.photo.modify.editor (Picture Editor)
• com.better.camera.pip (PIP camera – Photo Editor)
• com.face.editor.photo (Photo Editor)
• com.background.wallpaper.keyboard (Keyboard Wallpaper)

Как оказалось, авторы Joker также сменили полезную нагрузку и теперь используют дроппер. Его код сильно обфусцирован, каждая строка кодируется по base64, а затем применяется шифр AES. Ключ для расшифровки зловред запрашивает с C2-сервера.

Примечательно, что, попав на устройство, дроппер также собирает и отправляет своим хозяевам метаданные — информацию об источнике ссылки (рефере). Это навело исследователей на мысль, что Google Play в данном случае лишь один из каналов распространения инфекции.

После запуска основного модуля Joker собирает данные о зараженном устройстве и номер телефона. После этого он скачивает с C2-сервера код JavaScript и URL премиум-сервиса, а также создает в Actibity контейнер WebView для загрузки целевой страницы. Сценарий JavaScript при этом используется для автоматического оформления подписки.

Сайты, в пользу которых работает Joker, находятся в разных регионах и оформлены на различных языках — английском, немецком, португальском, испанском, арабском, тайском. Некоторые из них используют CAPTCHA, но зловред с успехом ее обходит. Каким образом его операторы извлекают выгоду из этого поведения, непонятно: все эти премиум-сервисы не предусматривают выплат за привлечение подписчиков. Однако повелителям Joker, по всей видимости, это зачем-то нужно, раз они так упорно стремятся сохранить все присутствие на Google Play.