L’acteur de la menace derrière le malware Joker Android a une fois de plus réussi à glisser avec succès des applications infectées par des logiciels espions sur le Play Store, le magasin d’applications Android officiel de Google.

Les applications Android infectées par le logiciel malveillant Joker, un logiciel espion et un numéroteur premium également connu sous le nom de Bread et suivi depuis 2017, ont été initialement conçues pour effectuer des fraudes par SMS.

Plus récemment, les créateurs de Joker sont passés à de nouvelles tactiques après que Google a introduit de nouvelles politiques Play Store qui restreignent l’utilisation des autorisations SEND_SMS et augmentent la couverture de Google Play Protect.

Les versions mises à jour de ce cheval de Troie Android sont désormais utilisées pour un type de fraude à la facturation mobile connu sous le nom de fraude au péage. Grâce à cette nouvelle tactique, les opérateurs du Joker utilisent des applications malveillantes pour inciter leurs victimes à s’abonner ou à acheter différents types de contenu via leur facture de téléphone mobile.

Contourner les défenses de Google Play Store

Une nouvelle variante de Joker s’est glissée avec succès dans le Play Store et a infecté les utilisateurs d’Android après avoir caché la charge utile malveillante sous la forme d’un fichier dex caché sous la forme de chaînes encodées en Base64 dans les fichiers AndroidManifest des applications apparemment bénignes (utilisé pour fournir des outils de construction Android, le système d’exploitation Android) et le Google Play Store avec des informations essentielles sur les applications).

Cela permet au logiciel malveillant d’éviter avec succès la détection lors de l’analyse pendant le processus de soumission et d’éliminer la nécessité de se connecter à un serveur de commande et de contrôle (C2) pour télécharger les composants malveillants sur les appareils compromis.

Au total, les chercheurs de Check Point qui ont repéré la nouvelle variante de Joker ont signalé 11 applications à Google, des applications qui ont été supprimées du marché officiel d’Android au 30 avril 2020.

Fichier manifeste contenant la charge utile dex malveillante

Le directeur de la recherche mobile de Check Point, Aviran Hazum, déclare que la nouvelle méthode d’infection utilisée par Joker comprend les trois étapes suivantes:

1. Construisez d’abord la charge utile: Joker construit sa charge utile au préalable, en l’insérant dans …

Voir la source de cette publication