Die Sicherheitsforscher von Check Point Software Technologies entdeckten einen alten Bekannten in einigen Apps auf dem Google-App-Marktplatz: die Malware namens Joker
San Carlos, Kalifornien – 22. Juli 2020 – Das Check Point Research Team von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), identifizierte eine alte Bedrohung im Code diverser Applikationen, die zum Download im Google Play Store verfügbar waren. Eine neue Variante der Joker Dropper und Premium Dialer Spyware versteckte sich in über zehn verschiedenen Anwendungen, die nach Schätzungen der Experten mehrere hunderttausend Mal heruntergeladen wurden.
Abbildung 1: Beispiel für Joker-infizierte App
Die Malware ist dafür bekannt, den Nutzer nach dem Download aus dem Play Store bei verschiedenen kostenpflichtigen Abonnements und Services einzutragen – ohne dessen Wissen oder Einverständnis. Nun hat der Joker erneut den Weg auf Android-Geräte gefunden, diesmal aber mit einem neuen Trick im Gepäck. Dieser ermöglicht es der Malware, sich vor den Sicherheitsmaßnahmen des Google Play Store zu verbergen. Dafür haben sich die kriminellen Köpfe hinter der neuen Version folgendes ausgedacht:
Um die Möglichkeit zu realisieren, dass App-Benutzer ohne ihr Wissen oder ihre Zustimmung heimlich bei Premium-Diensten als Abonnenten eingetragen werden können, nutzte der Joker zwei Hauptkomponenten. Zum einen den Notification-Listener-Dienst, der Teil der infizierten Applikation ist, und zum anderen eine dynamische Dex-Datei, die vom Command-and-Control-Server der Hacker geladen wurde, um die Registrierung des Benutzers für die Dienste auszuführen.
In dem Versuch, den Fingerabdruck des Jokers zu minimieren, versteckte der dahinter stehende Kriminelle die dynamisch geladene Dex-Datei, während er gleichzeitig sicherstellte, dass sie dennoch geladen werden kann – eine Technik, die den Entwicklern von Malware für Windows-PCs bestens bekannt ist. Diese neue Variante der Joker-Malware verbirgt nun also die bösartige Dex-Datei innerhalb der Anwendung als Base64-kodierte Strings, jederzeit bereit zum Dekodieren und Ausführen.
Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH, warnt eindringlich: „Joker hat sich den Gegebenheiten angepasst. Wir fanden den Schädling versteckt in der Datei ‚essential information‘, die jede Android-Anwendung haben muss und unsere Erkenntnisse deuten stark darauf hin, dass der Schutz des Google Play Store trotz der jüngsten Bemühungen von Google nicht ausreicht. Wir konnten zahlreiche Fälle von wöchentlichen Joker-Uploads in den Play Store feststellen. All diese infizierten Applikationen wurden von sehr vielen Nutzern heruntergeladen. Obwohl Google die bösartigen Anwendungen mittlerweile aus dem Play Store entfernt hat, können wir davon ausgehen, dass sich Joker wieder anpassen wird. Zusätzlich befinden sich die Anwendungen ja auch noch auf den Smartphones der Opfer. Jeder sollte sich daher die Zeit nehmen, um seine Applikationen regelmäßig zu überprüfen und diese gegebenenfalls löschen oder aktualisieren. Eine wirksame Sicherheitslösung für Smartphones bietet sich ebenfalls an, um mögliche Infizierungen von Joker zu verhindern.“
Alle infizierten Inhalte, sowie alle Schritte, um sich vor einer Ausbreitung von Joker auf dem eigenen Smartphone zu schützen, finden Sie unter: https://research.checkpoint.com/2020/new-joker-variant-hits-google-play-with-an-old-trick/
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/
Alle Blogbeiträge von Check Point lesen Sie hier: https://blog.checkpoint.com/
Folgen Sie Check Point auf:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
Folgen Sie Check Point Research hier:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Über Check Point Research
Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity‘ Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.
