Die Sicherheitsforscher des Zscaler ThreatLabZ-Teams haben die Malware Joker in elf verschiedenen Apps mit insgesamt 30.000 Downloads im Google Play Store entdeckt. Sie stiehlt Kontaktlisten und verursacht finanzielle Schäden.
von Dr. Jakob Jung am , 11:35 Uhr
Die vom Zscaler ThreatLabZ-Team im Google Play Store gefundene Schadsoftware Joker ist eine der bekanntesten Malware-Familien, die auf Android-Geräte abzielt und durch kontinuierliche Veränderungen immer wieder ihren Weg in den offiziellen App Store von Google findet. Dazu werden von den Malware-Akteuren Änderungen am Code, den Ausführungsmethoden oder den Techniken zum Abrufen der Nutzdaten vorgenommen.
Die Spyware ist darauf ausgelegt, SMS-Nachrichten, Kontaktlisten und Geräteinformationen zu stehlen und die Opfer für Premium-WAP-Dienste (Wireless Application Protocol) anzumelden. Die betroffenen Applikationen wurden zwischenzeitlich aus dem Playstore entfernt, nachdem bereits Downloads in fünfstelliger Höhe erfolgten.
Die folgenden elf Apps waren betroffen:
Die Joker-Malware-Autoren haben es auf einige App-Kategorien mehr abgesehen als auf andere. Basierend auf den über 50 Payloads, die die Forscher in den letzten 2,5 Monaten analysiert haben, betrafen die meisten die folgenden fünf Kategorien:
Die Kategorie „Tools“ war das bevorzugte Ziel des Joker-Malware-Autors und machte 41 Prozent der gesamten Payloads aus. Die Kategorien „Kommunikation“ und „Personalisierung“ folgten mit 28 bzw. 22 Prozent der Payloads. Die Kategorie „Fotografie“ verzeichnete sieben Prozent Payloads. Die letzten zwei Prozent der Payloads entfielen auf die Kategorie „Gesundheit & Fitness“. Diese Kategorie scheint neu ins Visier genommen zu sein, da hier bisher keine Infektionen beobachtet werden konnten.
Neue Angriffsmethoden
Joker ist bereits bekannt dafür, seine Angriffsmethoden fortlaufend zu ändern, um der Entdeckung zu entgehen. Dieses Mal wurden URL Shortener-Dienste zum Abrufen der Payload eingesetzt, während zuletzt die Alibaba-Cloud benutzt wurde. Die mit Joker infizierten Apps zweckentfremdeten dabei die folgenden Services als Träger der Mediator-Payload TinyURL, bit.ly, Rebrand.ly, zws.im oder 27url.cn um die bekannten Cloud-Service URLs zu verstecken, die zum Nachladen der Stage-Payload verwendet wurden.
Die ständigen Änderungen deuten darauf hin, dass die Joker-Malware-Autoren sehr aktiv sind und immer wieder neue Taktiken ausprobieren, um den Überprüfungsprozess des Google Play Store zu umgehen. Anhand der Anzahl der in Google Play hochgeladenen Nutzdaten lässt sich vermuten, dass sich die Aktivitäten für die Joker-Malware-Autoren lohnen. Das ThreatLabz-Team überwacht fortlaufend die neu zum Google Play Store hinzugefügten Apps auf solche Vorfälle und helfen dabei, sie in Zusammenarbeit mit dem Google Security Team aus dem Verkehr zu ziehen.
Neben dem Google Play Store werden solche Apps auch in die App-Stores von Drittanbietern hochgeladen, da diese regelmäßig Crawling-Aktivitäten im Google Play Store durchführen. Allerdings leben diese Apps dort länger, da Drittanbieter keine Überprüfung vornehmen. Aus diesem Grund empfiehlt es sich, Apps aus dem offiziellen Google Play Store zu beziehen und nicht von anderen Drittanbietern. Allerdings ist der direkte Download oft die einzige Möglichkeit, beispielsweise Adult Entertainment Apps herunterzuladen, die Google und erst recht nicht Apple nicht offiziell führen wollen.
Themenseiten: Malware, Zscaler
Bessere Zukunftsperspektiven für Softwareanbieter mit AWS
09.03.2022, AWS
Die 10 Wichtigsten in Azure Ad und Office 365 zu überwachenden Sicherheitsereignisse
03.03.2022, Quest Software
Was Sie über die Office 365 und Azure Migration noch nicht wissen
03.03.2022,
Umfassender Leitfaden für Sicherheitsmaßnahmen. Wie Sie Risiken minimieren und Ihre Sicherheitslage kontinuierlich verbessern können
03.03.2022, Arctic Wolf
Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *
Ergebnisse anzeigen
Der Missbrauch von Maschinenidentitäten nimmt zu. Kevin Bocek, Vice … » mehr
Die Anforderungen an einen Einsteiger in die Cybersicherheit entsprechen … » mehr
Die CentOS Distribution Rocky Linux ist künftig in der Google Cloud … » mehr
WERBUNG
WERBUNG
Joker-Malware im Google Play Store – ZDNet.de
