Le malware Joker de retour sur le Google Play Store

Une nouvelle variante du logiciel malveillant Joker a de nouveau fait son apparition sur Google Play. Google a réagi en supprimant 11 applications Android malveillantes sur sa boutique d’applications.

Les applications malveillantes diffusant le malware Joker ont continué à contourner les protections de Google Play depuis 2019, car l’auteur du logiciel malveillant apportait toujours de petites modifications à son code. Cependant, les chercheurs disent que Joker s’est amélioré en utilisant une tactique bien connue mais pas encore utilisée par Joker auparavant. Le malware cache le code malveillant dans des applications légitimes, lui permettant de contourner le processus de vérification des applications de Google Play.

“Joker s’est adapté”, a déclaré Aviran Hazum, directeur de la recherche mobile chez Check Point Research, dans une analyse. “Le malware Joker est difficile à détecter, malgré l’investissement de Google dans l’ajout de protections Play Store. Bien que Google ait supprimé les applications malveillantes du Play Store, nous pouvons nous attendre à ce que Joker s’adapte à nouveau. Tout le monde devrait prendre le temps de comprendre ce qu’est le malware Joker et comment il affecte les gens.”

Joker est une famille de logiciels malveillants de fraude à la facturation qui a fait son apparition en 2017, mais a commencé à être très actif en 2019. Il se présente comme une application légitime, mais une fois installé, il infecte les victimes pour dérober leurs messages SMS, leurs listes de contacts et les informations de leur appareil. Le malware force aussi les victimes à s’abonner à des services premium à leur insu.

joker

La variante la plus récente du logiciel malveillant utilise une tactique où il cache du code malveillant dans ce que l’on appelle le fichier “Android Manifest” d’une application légitime. Chaque application possède un fichier manifeste Android dans son répertoire racine, qui fournit au système Android des informations essentielles sur une application, telles que son nom, son icône et ses autorisations.

Joker a construit son payload avant de l’insérer dans le fichier «Android Manifest» via un fichier dex, caché sous la forme de chaînes encodées en Base64. Ce payload est masqué lors de l’évaluation de l’application par Google Play, ce qui permet de contourner plus facilement le processus de vérification de l’application. Ce n’est qu’après l’approbation de l’application dans le processus d’évaluation que la campagne se lance, avec le payload malveillant décodé et chargé sur l’appareil compromis. Il est important de noter que cette astuce est bien connue des développeurs de logiciels malveillants pour PC Windows, ont déclaré les chercheurs.

“De cette façon, le logiciel malveillant n’a pas besoin d’accéder à un serveur [de commande et de contrôle], qui est un ordinateur contrôlé par un cybercriminel utilisé pour envoyer des commandes à des systèmes compromis par un logiciel malveillant, pour télécharger le payload, la partie du logiciel malveillant qui effectue l’action malveillante », ont déclaré les chercheurs.

Les chercheurs ont également détecté une variante «intermédiaire», qui utilisait aussi la technique de masquage du fichier .dex mentionnée plus haut.

Cependant, “au lieu d’ajouter les chaînes au fichier Manifest, les chaînes se trouvaient à l’intérieur d’une classe interne de l’application principale”, ont expliqué les chercheurs. “Dans ce cas, tout ce qui était nécessaire pour que le code malveillant s’exécute était de lire les chaînes, de les décoder et de les charger avec réflexion.”

Différents types d’applications contenaient le logiciel malveillant Joker en allant des jeux d’entraînement à la mémoire au papier peint de téléphone à thème floral (voir ci-dessous pour les noms des packages).

joker

Joker refuse de disparaître

Le malware Joker continue de se balader sur Google Play via des applications légitimes. En Janvier, les chercheurs ont révélé que Google avait supprimé plus de 17 000 applications Android sur le Play Store, ces applications aidaient la distribution du malware Joker (alias Bread). À l’époque, les chercheurs ont déclaré que les opérateurs de Joker ont «à un moment donné utilisé à peu près toutes les techniques de masquage et d’obscurcissement pour tenter de passer inaperçues». En 2019, les chercheurs ont également repéré 24 applications malveillantes sur le Google Play Store. Ces applications avaient été installées 472 000 fois et diffusaient le malware Joker.

“Nos dernières découvertes indiquent que les protections de Google Play Store ne sont pas suffisantes. Nous avons pu détecter de nombreux cas de déploiement de Joker par le biais d’applications sur Google Play, ces applications ont toutes été téléchargées par des utilisateurs», ont déclaré les chercheurs de Check Point.

Les chercheurs de Check Point ont partagé les résultats de leur recherche avec Google et toutes les applications signalées ont été supprimées du Play Store avant le 30 avril.

Si cet article vous a plu, jetez un œil à notre article précédent.