Tutkijat löysivät yli 50 sovellusta, jotka sisälsivät Joker-haittaohjelman. Näitä sovelluksia ehdittiin ladata yli 300 000 kertaa. Lisäksi kaupasta löytyi myös sovelluksia, jotka käyttivät FaceStealer- ja Coper-haittaohjelmia.
Zscaler ilmoitti löydöksistä Googlelle, joka on jo poistanut haittaohjelmaa sisältävät sovellukset kaupasta.
Zscaler kertoo, että Joker on yksi yleisimmistä Android-laitteiden haittaohjelmista. Vaikka kyseinen haittaohjelma on tunnettu, se löytää kuitenkin tiensä yhä uudelleen Googlen viralliseen sovelluskauppaan.
Tämä onnistuu esimerkiksi muuttamalla haitakkeen koodia ja toimintatapaa.
Pari vuotta sitten uutisoimme kyseisestä Joker-haittaohjelmasta, joka tuolloin löytyi 11 sovelluksesta. Tietoturvayhtiö Check Point Software Technologies tutkijat kertoivat tuolloin, että ensimmäisen kerran vuonna 2017 havaittu Joker on muuntautumiskykyinen ja sitä on vaikea paikantaa sovelluksesta.
Joker liitetään osaksi vaarattoman näköistä sovellusta ja se piilotetaan osaksi sovelluksen toiminnan kannalta tärkeää tiedostoa.
Zscaler kertoo, että useimmiten Joker-haittaohjelma liitetään osaksi viestisovelluksia, jotka vaativat käyttäjiä myöntämään käyttöoikeuksia, jotta sovellus toimii oletusarvoisena tekstiviestisovelluksena käyttäjän puhelimessa.
Haittaohjelma käyttää näitä lisäoikeuksia toimintojensa suorittamiseen.
Joker kykenee asentamaan laitteelle toisen haittaohjelman, joka puolestaan kykenee varastamaan tekstiviestejä, yhteystietoja ja laitetietoja sekä rekisteröitymään maksullisiin palveluihin.
Joker pystyy ottamaan haltuunsa ilmoitukset ja piilottamaan muita tekstiviestejä, jolloin uhri ei huomaa joutuneensa tilausansaan.
Cybernewsin mukaan toimivat esimerkiksi käyttävät sovelluksessa tunnetun sovelluksen, kuten Messengerin, tapaista logoa, joka houkuttelee lataamaan haittaohjelman sisältävän sovelluksen.
Haittaohjelmaa ylläpitävät tahot ovat myös panostaneet haittaohjelman toimintaan. Joker lataa seuraavan vaiheen hyötykuorman vasta sitten, kun sovellus on julkaistu Play Storessa. Tämä tekniikka estää haitallisia toimintoja toimimasta, jos sovellusta tarkistetaan eikä se ole Play -kaupassa saatavilla.
Lisäksi Zscaler löysi FaceStealer- ja Coper-haittaohjelmia sisältäviä sovelluksia Play -kaupasta.
FaceStealer varastaa Facebook-käyttäjätunnukset pyytämällä käyttäjää kirjautumaan sovellukseen sisään tunnuksilla. Kun käyttäjä täyttää nämä tunnukset, haittaohjelma lähettää ne haitallisen ohjelman toimijan käsiin.
Aiemman uutisen FaceStealer-haittaohjelmasta voi lukea täältä.
Coper on troijalainen, joka kohdistaa hyökkäykset pankkisovelluksiin. Zscalerin mukaan haittaohjelma oli naamioitu QR-koodien lukijaksi.
Coper-haittaohjelma vapautuu, kun sovelluksen asentaa laitteelle. Coper pystyy sieppaamaan ja lähettämään tekstiviestejä, kirjaamaan näppäinpainallukset, lukitsemaan ja avaamaan laitteen näytön, estämään asennuksen poistot ja yleensä antamaan hyökkääjille mahdollisuuden ottaa laitteen hallintaansa ja suorittaamaan komentoja.
Coperin päätavoite on saada haltuunsa uhrin pankkitiedot, joita toimijat voivat hyödyntää rahojen varastamiseen.
Zscaler antaa muutamia ohjeita, joilla voi välttyä haittaohjelman uhriksi päätymisen.
Laitteelle ei kannata asentaa tarpeettomia sovelluksia tai epäluotettavia sovelluksia, joilla on vähän asennuskertoja ja arvosteluja.
Kannattaa keskittyä sellaisiin sovelluksiin, joilla on paljon latauskertoja ja hyvät arviot.
Zscalerin mukaan etenkin viestisovellusten asennusta kannattaa välttää.
Osa haittaohjelmista osaa lähettää kavereiden nimissä viestejä, jotka suosittelevat kavereille haittaohjelman sisältävän sovelluksen asentamista. Mikäli tällaisen ehdotuksen saa kaverilta, kannattaa ottaa huomioon, että kyseinen kaveri on saattanut joutua haittaohjelman uhriksi. Ennen asentamista kaverilta voi esimerkiksi varmistaa asian.
Kommentoi artikkelia