В последние недели специалисты по безопасности наблюдали новый троян в приложениях Android. На данный момент они нашли его в 24 приложениях, доступных в Google Play. Эти приложения были загружены более полумиллиона раз.
Джокер - тихий вор на вашем смартфоне
Трояна назвали Джокером. После заражения смартфона без ведома пользователя он загружает компонент, который выполняет второй этап атаки. Эта вредоносная программа перехватывает SMS-сообщения, список контактов и информацию о смартфоне. Кроме того, он имитирует нажатие на рекламу и может подписать пользователя на премиальные услуги.
Аналитики говорят, что, например, в Дании Joker подписывал пользователей на Premium услуги на сумму до 50 шведских крон (около 7 долларов) в неделю. Подписка осуществлялась на указанных трояном сайтах, где в качестве подтверждения используется smsкод. Троян также содержал список телефонных кодов стран, в которых он включался.
Процесс был полностью скрыт от владельца смартфона, и в счет были добавлены сборы. Только подробный список телефонных разговоров показал денежные потери. Первые следы его действий датированы июнем 2019 года, но, возможно, они использовались в более старых приложениях.
Джокер может в любой момент получить команду от управляющего сервера через Интернет и выполнить команду на JavaScript. Это затрудняет обнаружение зараженного приложения в Google Play - вредоносные функции не являются постоянной частью, поэтому их невозможно обнаружить при анализе приложения.
Троян был помещен в системе отображения рекламы приложений, и он включается, когда приложение показывала экран приветствия. Связь с контролирующим сервером, была сведена к минимуму. Кроме того, все следы Трояна были хорошо замаскированы.
Откуда взялся Джокер?
Троян атакует смартфоны в различных странах. Специалисты подозревают, что Джокер из Китая. На это указывают фрагменты кода трояна, где, в частности, написаны комментарии на китайском языке.