Er is een nieuwe set getrojaanse apps waargenomen die via de Google Play Store worden verspreid en de beruchte Joker-malware verspreiden op gecompromitteerde Android-apparaten.
Joker, een recidivist, verwijst naar een klasse van schadelijke apps die worden gebruikt voor facturering en sms-fraude, terwijl ze ook een aantal acties uitvoeren naar keuze van een kwaadwillende hacker, zoals het stelen van sms-berichten, contactlijsten en apparaatinformatie.
Ondanks de voortdurende pogingen van Google om zijn verdediging op te schalen, zijn de apps voortdurend herhaald om naar gaten te zoeken en ongemerkt de app store binnen te glippen.
“Ze worden meestal verspreid op Google Play, waar oplichters legitieme apps uit de winkel downloaden, er kwaadaardige code aan toevoegen en ze opnieuw uploaden naar de winkel onder een andere naam,” Kaspersky-onderzoeker Igor Golovin zei in een rapport dat vorige week werd gepubliceerd.
De getrojaanse apps, die de plaats innemen van hun verwijderde tegenhangers, verschijnen vaak als berichten-, gezondheids-tracking- en PDF-scanner-apps die, eenmaal geïnstalleerd, toestemming vragen voor toegang tot sms-berichten en meldingen, en ze misbruiken om gebruikers te abonneren op premium services.
Een geniepige truc die door Joker wordt gebruikt om het Google Play-controleproces te omzeilen, is om de kwaadaardige payload “slapend” te maken en de functies pas te activeren nadat de apps live zijn gegaan in de Play Store.
Drie van de met Joker geïnfecteerde apps die tot eind februari 2022 door Kaspersky zijn gedetecteerd, staan hieronder vermeld. Hoewel ze zijn verwijderd uit Google Play, blijven ze beschikbaar bij externe app-providers.
- Stijlbericht (com.stylelacat.messagearound),
- bloeddruk-app (blood.maodig.raise.bloodrate.monitorapp.plus.tracker.tool.health), en
- Camera PDF-scanner (com.jiao.hdcam.docscanner)
Dit is niet de eerste keer dat Trojaanse paarden voor abonnementen zijn ontdekt op app-marktplaatsen. Vorig jaar werden apps voor de APKPure-app Store en een veelgebruikte WhatsApp-mod gecompromitteerd met malware genaamd Triada.
Toen, in september 2021, nam Zimperium de wraps over van een agressief plan om geld te verdienen, GriftHorse genaamd, en volgde het op met nog een ander geval van misbruik van premium service genaamd Dark Herring eerder deze januari.
“Trojaanse paarden met abonnementen kunnen botdetectie op websites voor betaalde services omzeilen en soms abonneren ze gebruikers op de eigen niet-bestaande services van oplichters”, zei Golovin.
“Om ongewenste abonnementen te voorkomen, moet u het installeren van apps van niet-officiële bronnen, de meest voorkomende bron van malware, vermijden.”
Zelfs bij het downloaden van apps uit officiële app-winkels, wordt gebruikers geadviseerd om de recensies te lezen, de legitimiteit van de ontwikkelaars te controleren, de gebruiksvoorwaarden te controleren en alleen toestemmingen te verlenen die essentieel zijn om de beoogde functies uit te voeren.
