Le malware Joker inonde l’écosystème d’Android

Plusieurs variantes du malware Android nommé Joker apparaissent dans Google Play ainsi que dans les magasins d’applications tiers, dans une tendance qui, selon les chercheurs, indique un ciblage de la plate-forme mobile Android.

Les chercheurs de Zscaler ont trouvé 17 échantillons différents de Joker régulièrement téléchargés sur Google Play en Septembre. Collectivement, ceux-ci ont représenté 120 000 téléchargements, a déclaré la société.

Pendant ce temps, les analystes de Zimperium ont déclaré qu’ils trouvaient chaque jour des applications malveillantes sur les appareils des utilisateurs, arrivant principalement via des magasins tiers, des applications téléchargées à l’insu des utilisateurs et des sites Web malveillants qui incitent les utilisateurs à télécharger et à installer des applications. En tout, ils ont identifié 64 nouvelles variantes de Joker rien qu’en Septembre.

android sdk

Le malware Joker existe depuis 2017, il s’agit d’un cheval de Troie mobile qui effectue un type de fraude à la facturation que les chercheurs ont nommé «Fleeceware». Les applications Joker se présentent comme des applications légitimes (comme des jeux, des fonds d’écran, des applications de messagerie, des traducteurs et des éditeurs de photos). Une fois installés, ils simulent les clics et interceptent les SMS pour abonner les victimes à des services premium payants à leur insu. Les applications volent également les SMS, les listes de contacts et les informations sur les appareils.

Les applications malveillantes Joker se trouvent généralement en dehors de la boutique officielle Google Play, comme Zimperium l’a noté, mais les applications Joker continuent de contourner les protections de Google Play depuis 2019 également. C’est principalement parce que l’auteur du malware ne cesse d’apporter de petits changements à sa méthodologie d’attaque.

“[Joker] continue de trouver son chemin sur le marché des applications officielles de Google en utilisant des changements dans son code, ses méthodes d’exécution ou ses techniques de récupération de la charge utile”, ont déclaré des chercheurs de Zscaler, dans un article récent. Les 17 applications qu’ils ont signalées dans Google Play ont été supprimées.

Nouvelles variantes de Joker: Détails techniques

La fonctionnalité principale de Joker est réalisée en chargeant un fichier DEX, selon une analyse technique de Zimperium. Les fichiers DEX sont des fichiers exécutables enregistrés dans un format contenant du code compilé écrit pour Android. Plusieurs fichiers DEX sont généralement compressés dans un seul package .APK, qui sert de fichier d’application Android final pour la plupart des programmes.

joker

Dans le cas de Joker, une application, une fois installée, se connecte à une URL pour recevoir un fichier DEX de charge utile, qui est “presque le même parmi tous les Jokers, sauf que certains utilisent une requête POST tandis que d’autres utilisent une requête GET”, selon Zimperium .

“Les chevaux de Troie Joker présentent un risque plus élevé pour les utilisateurs d’Android car l’interface utilisateur est conçue pour paraître très normale et effectuer secrètement l’activité malveillante”, selon les chercheurs de Zimperium. «Le cheval de Troie affiche l’écran… avec une barre de progression et ‘Chargement des données…’, mais il se connecte à l’URL de première étape et télécharge la charge utile.»

Les applications Joker utilisent également des techniques d’injection de code pour se cacher parmi les noms de packages couramment utilisés tels que org.junit.internal, com.google.android.gms.dynamite ou com.unity3d.player.UnityProvider, ont noté les analystes de Zimperium.

“Le but est de rendre plus difficile pour l’analyste de logiciels malveillants la détection du code malveillant, car les librairies tierces contiennent généralement beaucoup de code et la présence d’obscurcissement supplémentaire peut rendre la tâche de repérage de classes injectées encore plus difficile,” ont-ils expliqué dans un article de blog. «De plus, l’utilisation de noms de paquet légitimes met en échec les tentatives naïves de mise sur liste noire.»

Les variantes récentes présentaient de nouvelles astuces, telles que l’utilisation du chiffrement AES et l’injection de code dans la fonction de “fournisseur de contenu” d’Android.

«Pour tenter de cacher les chaînes intéressantes liées à la malveillance de Joker, le cheval de Troie récupère les chaînes chiffrées à partir des ressources (/resources/values/strings.xml) qui sont déchiffrées en utilisant «AES/ECB »», ont déclaré les chercheurs de Zimperium. «Le mécanisme de déchiffrage de Joker est généralement un simple chiffrage AES ou DES qui a évolué pour ne pas éveiller les soupçons concernant les chaînes chiffrées en les obscurcissant.»

Pendant ce temps, les nouvelles variantes insèrent également du code dans les fonctions du fournisseur de contenu, qui est un composant Android utilisé pour gérer les bases de données et les informations via des fonctions telles que query() et delete(), ont déclaré les chercheurs.

Dans l’ensemble, il est clair que Joker continue d’être un fléau pour les utilisateurs d’Android.

«Chaque jour, les chercheurs de Zimperium découvrent des logiciels malveillants installés sur les appareils des utilisateurs», a conclu la société. «Un logiciel malveillant qui n’est pas censé être là, mais c’est le cas. Les échantillons rapportés dans cet article de blog ne sont qu’un sous-ensemble d’entre eux, la pointe de l’iceberg. “

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x