Le célèbre Joker malware a de nouveau trouvé sa place dans le Google Play Store officiel en apportant des ajustements subtils pour passer les contrôles automatisés, selon des rapports.
La famille de logiciels malveillants Joker a infecté applications sur le Play Store de Google ces dernières années, et a même fait son apparition sur autres magasins d’applications importants tel que Huawei‘s.
« Malgré la connaissance de ce malware particulier, il continue de se frayer un chemin sur le marché des applications officielles de Google en utilisant des changements dans son code, ses méthodes d’exécution ou ses techniques de récupération de charge utile », suggèrent des chercheurs de sécurité des nuages entreprise Zscaler.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et vous pouvez également choisir de participer au tirage au sort pour gagner un bon Amazon de 100 $ ou l’un des cinq abonnements ExpressVPN d’un an.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
Zscaler suggère que le Joker Spyware est conçu pour voler des messages SMS, des listes de contacts et des informations sur l’appareil et inscrire également silencieusement les victimes aux services de protocole d’application sans fil (WAP) premium.
Sommaire
Restez vigilant
L’équipe de Zscaler lorgne Joker depuis un certain temps déjà et a récemment été alertée par une série de téléchargements sur le Play Store. Après avoir vérifié la présence du malware, les chercheurs ont alerté l’équipe de sécurité de Google Android, qui a rapidement supprimé plus d’une douzaine d’applications suspectes signalées par les chercheurs.
Dans son analyse de cette dernière souche de Joker, Zscaler note que le malware utilise trois tactiques différentes pour contourner le processus de vérification de Google Play.
L’une consiste à intégrer directement l’URL du serveur de commande et de contrôle (C2) dans le code lui-même en le masquant à l’aide de l’obscurcissement des chaînes. D’autres techniques consistent à télécharger une ou deux charges utiles de stager, dont les URL sont cryptées AES pour les rendre illisibles.
La charge utile finale des trois astuces est le code malveillant qui utilise le cryptage DES pour exécuter ses activités de logiciels espions malveillants.
Compte tenu de la facilité avec laquelle le malware a réussi à se faufiler au-delà des filtres de Google, les chercheurs suggèrent aux utilisateurs d’être vigilants et de toujours prêter une attention particulière aux autorisations recherchées par les applications qu’ils souhaitent installer, en gardant les yeux ouverts sur les « autorisations risquées » liées aux messages, journaux d’appels, contacts et autres zones sensibles de l’appareil.
