Joker ist eine der bekanntesten Malware-Familien, die auf Android-Geräte abzielt und immer wieder ihren Weg in den offiziellen Google-Play-Store findet. Um weiterhin erfolgreich zu sein, ändern die Malware-Entwickler ihren Code, die Methoden zur Ausführung des Codes oder das Nachladen der Payload. An der Gefährlichkeit von Joker ändert das nichts, denn diese Malware spioniert SMS-Nachrichten aus, stiehlt Kontaktlisten und Geräteinformationen und meldet seine Opfer für Premium-WAP-Dienste (Wireless-Application-Protocol) an.
Aufgrund des Gefahrenpotenzials behalten die Sicherheitsforscher des ThreatLabZ-Teams die Joker-Malware ständig im Blick. Kürzlich konnten sie dadurch Uploads von Joker in den Google-Play-Store beobachten, woraufhin das Google-Android-Sicherheitsteam umgehend Maßnahmen ergriffen hat, um die verdächtigen Apps aus dem Store zu entfernen. Identifiziert wurden 17 verschiedene mit Joker infizierte Apps, die im September 2020 im Store auftauchten und insgesamt rund 120.000 Downloads verzeichnen konnten.
Die Zscaler-Forscher untersuchten aufgrund des gehäuften Auftretens von Joker die Mechanismen, die von der Malware zur Umgehung der Google-Sicherheitsmaßnahmen eingesetzt wurden. In einigen der Varianten wurde die finale Payload direkt über eine URL vom Command- und Control-Server bezogen. Die infizierte Applikation hatte die C&C-Adresse mit einer Verschleierung im Code verborgen, um der Entdeckung zu entgehen. Nach Installation nahm die infizierte App Kontakt zum C&C-Server auf und bekam als Antwort die URL mit der finalen Payload zugestellt, um ihre schädlichen Aktivitäten aufzunehmen.
In anderen Apps kam ein zweistufiger Download-Prozess zum Einsatz. Bei diesem Vorgehen enthält die infizierte App eine Stager-Payload-URL direkt im Code, die durch Advanced-Encryption-Standard (AES) verschleiert ist. Nach der Erstinfektion wird in einem ersten Schritt die Stager-Payload nachgeladen und noch nicht der finale Schadcode. Dieser wird im zweiten Schritt in zwei Variationen nachgeladen unter Einsatz des Android-Package (APK) oder einer ausführbaren Dalvik-Datei. Die weitere technische Analyse der Infektionskette ist im aktuellen ThreatLabZ-Blog nachzulesen.
Die folgenden Apps waren mit Joker infiziert:
- All Good PDF Scanner
- Mint Leaf Message-Your Private Message
- Unique Keyboard – Fancy Fonts & Free Emoticons
- Tangram App Lock
- Direct Messenger
- Private SMS
- One Sentence Translator – Multifunctional Translator
- Style Photo Collage
- Meticulous Scanner
- Desire Translate
- Talent Photo Editor – Blur focus
- Care Message
- Part Message
- Paper Doc Scanner
- Blue Scanner
- Hummingbird PDF Converter – Photo to PDF
- All Good PDF Scanner
Das ThreatLabZ-Team empfiehlt Anwendern, ihr Augenmerk auf die Berechtigungsliste in jeglichen Apps zu legen, die sie auf ihren Android-Geräten installieren. Die User sollten immer auf die riskanten Berechtigungen im Zusammenhang mit SMS, Anrufprotokollen, Kontakten und mehr achten. Darüber hinaus empfiehlt es sich die Kommentare unter den Apps und die Bewertungen zu lesen, um kompromittierte Anwendungen selbst zu identifizieren.
#Zscaler