Εμφάνιση 1-6 από 6
  1. #1
    Εγγραφή
    22-09-2003
    Μηνύματα
    81.664
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    Security
    Δελτίο Τύπου:
    Το κακόβουλο λογισμικό, γνωστό ως Joker, προσαρμόζεται και κρύβεται στο αρχείο "essential information" που κάθε εφαρμογή Android πρέπει να διαθέτει και «εγγράφει» τους χρήστες σε premium υπηρεσίες χωρίς τη γνώση ή τη συγκατάθεσή τους.

    • Η Google αναφέρει για το κακόβουλο λογισμικό πως «χρησιμοποιεί σχεδόν κάθε τεχνική απόκρυψης για να μην εντοπίζεται»
    • Το κακόβουλο λογισμικό στοχεύει νόμιμες εφαρμογές όπως, για παράδειγμα, την εφαρμογή Flowers Wallpaper-HD Application
    • 11 «μολυσμένες» εφαρμογές αφαιρέθηκαν από το Play Store

    Αθήνα, 16 Ιουλίου 2020 - Οι ερευνητές ασφαλείας της Check Point αναφέρουν πως το Joker, το κακόβουλο λογισμικό που πραγματοποιεί απάτες χρεώνοντας τους χρήστες, συνεχίζει να παρακάμπτει τα φίλτρα προστασίας του Google Play Store. Το malware που εντοπίστηκε για πρώτη φορά το 2017, λειτουργεί ως spyware και ως premium dialer ενώ μπορεί να έχει πρόσβαση σε ειδοποιήσεις, να διαβάζει αλλά και να στέλνει SMS. Το Joker αξιοποιεί τις συγκεκριμένες δυνατότητες για να «εγγράφει» κρυφά τα θύματα σε premium υπηρεσίες. Η Google περιέγραψε το Joker ως μία από τις πιο επίμονες απειλές που αντιμετώπισε τα τελευταία χρόνια, δηλώνοντας ότι «χρησιμοποιεί σχεδόν κάθε τεχνική απόκρυψης για να μην εντοπίζεται».

    Οι ερευνητές ασφαλείας της Check Point εντόπισαν μια νέα μέθοδο που χρησιμοποιεί το συγκεκριμένο κακόβουλο λογισμικό. Αυτή τη φορά, το Joker κρύβει κακόβουλο κώδικα μέσα στο αρχείο "Android Manifest" μιας νόμιμης εφαρμογής. Στο root directory κάθε εφαρμογής πρέπει να εμφανίζεται πάντα ένα αρχείο Android Manifest. Το αρχείο manifest παρέχει στο σύστημα Android βασικές πληροφορίες για την εφαρμογή, τις οποίες πρέπει να διαθέτει το σύστημα προτού εκτελέσει οποιονδήποτε κώδικά της, όπως όνομα, εικονίδιο και δικαιώματα. Με αυτόν τον τρόπο, το κακόβουλο λογισμικό δεν χρειάζεται να έρθει σε επαφή με ένα server C&C (διακομιστή εντολών και ελέγχου), δηλαδή με έναν υπολογιστή που ελέγχεται από κάποιον εγκληματία στον κυβερνοχώρο. Οι συγκεκριμένοι servers χρησιμοποιούνται για την αποστολή εντολών σε συστήματα που έχουν παραβιαστεί από κακόβουλο λογισμικό, για τη λήψη του μέρους του κακόβουλου λογισμικού που στη συνέχεια εκτελεί την κακόβουλη ενέργεια.

    Οι ερευνητές ασφαλείας της Check Point περιέγραψαν τη νέα μέθοδο που αξιοποιεί το Joker σε τρία βήματα:

    1. Δημιουργία payload. To Joker δημιουργεί εκ των προτέρων το payload, εισάγοντας το στο Android Manifest File.
    2. Παράβλεψη φόρτωσης payload. Κατά τη διάρκεια της αξιολόγησης, το Joker δεν προσπαθεί να φορτώσει το κακόβουλο payload γεγονός που καθιστά πολύ πιο εύκολο το να παρακάμψει τα μέτρα/φίλτρα προστασίας του Google Play Store.
    3. Διάδοση κακόβουλου λογισμικού. Μετά την περίοδο αξιολόγησης και αφού έχει εγκριθεί, η καμπάνια εκτελείται, και το payload “φορτώνεται”.

    Οι ερευνητές ασφαλείας της Check Point παρουσίασαν τα ευρήματά της έρευνάς τους στην Google. Όλες οι αναφερόμενες εφαρμογές (11) αφαιρέθηκαν από το Play Store έως τις 30 Απριλίου 2020.

    Ο Aviran Hazum, Manager στο τμήμα Mobile Research της Check Point Software Technologies, δήλωσε σχετικά:

    «Το Joker προσαρμόστηκε. Ανακαλύψαμε ότι κρύβεται στο αρχείο που παρέχει βασικές πληροφορίες στο σύστημα Android για μια εφαρμογή, ένα αρχείο που κάθε Android app πρέπει να διαθέτει. Τα πιο πρόσφατα ευρήματα των ερευνών μας υποδεικνύουν πως τα φίλτρα προστασίας του Google Play Store δεν επαρκούν. Καταφέραμε να εντοπίσουμε πλήθος uploads του Joker στο Google Play σε εβδομαδιαία βάση, τα οποία στη συνέχεια έγιναν download από ανυποψίαστους χρήστες. Το κακόβουλο πρόγραμμα Joker είναι δύσκολο να εντοπιστεί, παρά τις προσπάθειες που καταβάλλει η Google για τη βελτίωση των φίλτρων προστασίας του Play Store. Παρόλο που η Google κατάργησε τις κακόβουλες εφαρμογές από το Play Store, είμαστε βέβαιοι πως το Joker θα προσαρμοστεί ξανά στα νέα δεδομένα».

    Πώς να παραμείνετε προστατευμένοι

    Εάν υποψιάζεστε ότι ενδέχεται να έχετε εγκαταστήσει στη συσκευή σας μια από τις μολυσμένες εφαρμογές, ακολουθήστε τα παρακάτω βήματα:

    • Καταργήστε την εγκατάσταση της μολυσμένης εφαρμογής από τη συσκευή
    • Ελέγξτε τους λογαριασμούς κινητής τηλεφωνίας και πιστωτικών καρτών για να δείτε εάν έχετε εγγραφεί σε οποιαδήποτε συνδρομητική υπηρεσία και καταργήστε την εγγραφή εφόσον αυτό είναι δυνατόν
    • Εγκαταστήστε μια λύση ασφαλείας για την προστασία από μελλοντικές μολύνσεων

    Η λίστα με τις εφαρμογές
    sha256 Package Name
    db43287d1a5ed249c4376ff6eb4a5ae65c63ceade7100229555aebf4a13cebf7 com.imagecompress.android
    d54dd3ccfc4f0ed5fa6f3449f8ddc37a5eff2a176590e627f9be92933da32926 com.contact.withme.texts
    5ada05f5c6bbabb5474338084565893afa624e0115f494e1c91f48111cbe99f3 com.hmvoice.friendsms
    2a12084a4195239e67e783888003a6433631359498a6b08941d695c65c05ecc4 com.relax.relaxation.androidsms
    96f269fa0d70fdb338f0f6cabf9748f6182b44eb1342c7dca2d4de85472bf789 com.cheery.message.sendsms
    0d9a5dc012078ef41ae9112554cefbc4d88133f1e40a4c4d52decf41b54fc830 com.cheery.message.sendsms
    2dba603773fee05232a9d21cbf6690c97172496f3bde2b456d687d920b160404 com.peason.lovinglovemessage
    46a5fb5d44e126bc9758a57e9c80e013cac31b3b57d98eae66e898a264251f47 com.file.recovefiles
    f6c37577afa37d085fb68fe365e1076363821d241fe48be1a27ae5edd2a35c4d com.LPlocker.lockapps
    044514ed2aeb7c0f90e7a9daf60c1562dc21114f29276136036d878ce8f652ca com.remindme.alram
    f90acfa650db3e859a2862033ea1536e2d7a9ff5020b18b19f2b5dfd8dd323b3 com.training.memorygame

  2. #2
    Εγγραφή
    06-07-2005
    Περιοχή
    Νέα Υόρκη
    Ηλικία
    48
    Μηνύματα
    11.597
    Downloads
    6
    Uploads
    2
    Τύπος
    Cable
    Ταχύτητα
    300 Mbps down/10 Mbps up
    ISP
    Spectrum
    Παράθεση Αρχικό μήνυμα από nnn Εμφάνιση μηνυμάτων
    Εγκαταστήστε μια λύση ασφαλείας για την προστασία από μελλοντικές μολύνσεων
    Πόσος κόσμος είναι αντίθετος με αυτή τη λύση γιατί "προσέχει" και τώρα προτείνεται από τη google;

    Πέρα από την πλάκα, 11 εφαρμογές είναι άσχετο νούμερο, το ενδιαφέρον στατιστικό θα ήταν το πόσοι τις είχαν εγκατεστημένες.

  3. #3
    Το avatar του μέλους sdikr
    sdikr Guest
    Παράθεση Αρχικό μήνυμα από tsigarid Εμφάνιση μηνυμάτων
    Πόσος κόσμος είναι αντίθετος με αυτή τη λύση γιατί "προσέχει" και τώρα προτείνεται από τη google;

    Πέρα από την πλάκα, 11 εφαρμογές είναι άσχετο νούμερο, το ενδιαφέρον στατιστικό θα ήταν το πόσοι τις είχαν εγκατεστημένες.
    Οχι απο την Google, απο την Checkpoint που έχει τέτοια προϊόντα

  4. #4
    Εγγραφή
    12-12-2004
    Ηλικία
    39
    Μηνύματα
    1.500
    Downloads
    3
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    100/10
    ISP
    Conn-x OTE
    Router
    Speedport Plus
    Path Level
    Fastpath
    Παράθεση Αρχικό μήνυμα από nnn Εμφάνιση μηνυμάτων
    να διαβάζει αλλά και να στέλνει SMS
    Σε ποιον ανήκουν οι αριθμοί στους οποίους έστελνε; Είναι π.χ. τα 5ψήφια της DIMOCO;

  5. #5
    Εγγραφή
    06-07-2005
    Περιοχή
    Νέα Υόρκη
    Ηλικία
    48
    Μηνύματα
    11.597
    Downloads
    6
    Uploads
    2
    Τύπος
    Cable
    Ταχύτητα
    300 Mbps down/10 Mbps up
    ISP
    Spectrum
    Παράθεση Αρχικό μήνυμα από sdikr Εμφάνιση μηνυμάτων
    Οχι απο την Google, απο την Checkpoint που έχει τέτοια προϊόντα
    OK, στέκομαι διορθωμένος.
    Είναι καλύτερο στα Αγγλικά

  6. #6
    Εγγραφή
    30-09-2005
    Ηλικία
    47
    Μηνύματα
    6.974
    Downloads
    6
    Uploads
    0
    Παράθεση Αρχικό μήνυμα από tsigarid Εμφάνιση μηνυμάτων
    OK, στέκομαι διορθωμένος.
    Είναι καλύτερο στα Αγγλικά
    Είσαι δεξιά. (google translate)

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας