Mobile Malware

Alte Masche, neue Maske: Malware Joker zurück im Google Play Store

Alte Masche, neue Maske: Malware Joker zurück im Google Play Store

*Die Security-Forscher von Check Point Software Technologies entdeckten einen alten Bekannten in einigen Apps auf dem Google-App-Marktplatz: die Malware namens Joker

Das Check Point Research Team von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), identifizierte eine alte Bedrohung im Code diverser Applikationen, die zum Download im Google Play Store verfügbar waren. Eine neue Variante der Joker Dropper und Premium Dialer Spyware versteckte sich in über zehn verschiedenen Anwendungen, die nach Schätzungen der Experten mehrere hunderttausend Mal heruntergeladen wurden.

Abbildung 1: Beispiel für Joker-infizierte App

Die Malware ist dafür bekannt, den Nutzer nach dem Download aus dem Play Store bei verschiedenen kostenpflichtigen Abonnements und Services einzutragen – ohne dessen Wissen oder Einverständnis. Nun hat der Joker erneut den Weg auf Android-Geräte gefunden, diesmal aber mit einem neuen Trick im Gepäck. Dieser ermöglicht es der Malware, sich vor den Sicherheitsmaßnahmen des Google Play Store zu verbergen. Dafür haben sich die kriminellen Köpfe hinter der neuen Version folgendes ausgedacht:

Um die Möglichkeit zu realisieren, dass App-Benutzer ohne ihr Wissen oder ihre Zustimmung heimlich bei Premium-Diensten als Abonnenten eingetragen werden können, nutzte der Joker zwei Hauptkomponenten. Zum einen den Notification-Listener-Dienst, der Teil der infizierten Applikation ist, und zum anderen eine dynamische Dex-Datei, die vom Command-and-Control-Server der Hacker geladen wurde, um die Registrierung des Benutzers für die Dienste auszuführen.

In dem Versuch, den Fingerabdruck des Jokers zu minimieren, versteckte der dahinter stehende Kriminelle die dynamisch geladene Dex-Datei, während er gleichzeitig sicherstellte, dass sie dennoch geladen werden kann – eine Technik, die den Entwicklern von Malware für Windows-PCs bestens bekannt ist. Diese neue Variante der Joker-Malware verbirgt nun also die bösartige Dex-Datei innerhalb der Anwendung als Base64-kodierte Strings, jederzeit bereit zum Dekodieren und Ausführen.

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH, warnt eindringlich: „Joker hat sich den Gegebenheiten angepasst. Wir fanden den Schädling versteckt in der Datei ‚essential information‘, die jede Android-Anwendung haben muss und unsere Erkenntnisse deuten stark darauf hin, dass der Schutz des Google Play Store trotz der jüngsten Bemühungen von Google nicht ausreicht. Wir konnten zahlreiche Fälle von wöchentlichen Joker-Uploads in den Play Store feststellen. All diese infizierten Applikationen wurden von sehr vielen Nutzern heruntergeladen. Obwohl Google die bösartigen Anwendungen mittlerweile aus dem Play Store entfernt hat, können wir davon ausgehen, dass sich Joker wieder anpassen wird. Zusätzlich befinden sich die Anwendungen ja auch noch auf den Smartphones der Opfer. Jeder sollte sich daher die Zeit nehmen, um seine Applikationen regelmäßig zu überprüfen und diese gegebenenfalls löschen oder aktualisieren. Eine wirksame Sicherheitslösung für Smartphones bietet sich ebenfalls an, um mögliche Infizierungen von Joker zu verhindern.“

Alle infizierten Inhalte, sowie alle Schritte, um sich vor einer Ausbreitung von Joker auf dem eigenen Smartphone zu schützen, finden Sie unter: https://research.checkpoint.com/2020/new-joker-variant-hits-google-play-with-an-old-trick/