JOKER-MALWARE SCHLÄGT WIEDER IM PLAY STORE ZU

"Bringen Sie Spaß in Ihre Chats mit diesen fantastischen Emoji-Stickern..." So beginnt die Beschreibung der App "Funny Emoji Sticker". Was sie Ihnen nicht sagt, ist, dass Sie neben diesen zweifellos tollen Stickern auch Malware auf Ihrem Gerät installieren.

Die App wurde am 5. April aus dem Play Store entfernt, während ihre Schwester-App, "Cute Sticker", am 4. April entfernt wurde.

Beide Apps wurden am 29/03/2023 veröffentlicht und haben zusammen mehr als 15.000 Downloads.

Die überwiegende Mehrheit dieser Downloads wurde wahrscheinlich von den Entwicklern selbst generiert, da es keinerlei Kommentare gibt. Für jemanden, der nicht auf die Kommentare achtet und nur die Anzahl der Downloads sieht, mag dies dennoch eine überzeugende Zahl sein.

Die Malware, die sich hinter den beiden Apps verbirgt, gehört zu der Familie namens "Joker", einer bekannten Malware, die versucht, ahnungslosen Opfern Gebühren abzuverlangen, indem sie sie für Premium-Dienste abonniert.

WIE ABONNIERT SIE BENUTZER?

Sobald die Anwendung installiert ist und der Benutzer sie öffnet, führt sie im Hintergrund mehrere Prüfungen durch, um die Umgebung, in der sie ausgeführt wird, zu validieren. Anschließend versucht sie, eine Datei herunterzuladen und dynamisch zu laden, die die Nutzlast der ersten Stufe mit bösartigem Code enthält. Die folgende Abbildung zeigt die Anfrage und die Antwort des Servers, die mit Burp abgefangen wurden:

Beachten Sie, dass die Antwort des Servers eine Weiterleitung (302) an einen anderen Ort ist, an dem sich die wichtige dex-Datei befindet.

Wenn die Anfrage aus einem Land kommt, für das die IP-Adresse nicht auf der Liste der erlaubten Länder des Servers steht, antwortet der Server harmlos mit folgendem Text:

Die Analyse der dynamisch geladenen dex-Datei zeigt, dass sie im Wesentlichen zwei Dinge tut: Sie lädt eine andere .dex-Datei herunter und schlägt dem Benutzer vor, der App zu erlauben, alle Benachrichtigungen abzuhören.

Das folgende Bild zeigt einen Auszug aus dem Code, der in der heruntergeladenen dex-Datei enthalten ist:

Wie der Auszug zeigt, wird der Benutzer auf die Einstellungsseite weitergeleitet, wo er aufgefordert wird, der App die Erlaubnis zu erteilen, Benachrichtigungen abzuhören. Außerdem wird eine Toast-Nachricht in einer Sprache angezeigt, die auf dem Mobile Country Code (MMC) basiert. MMC 260 steht für Polen und 286 für die Türkei, was darauf hinweisen könnte, dass die App auf diese Länder abzielt. Es ist bemerkenswert, dass in der gleichen geladenen dex-Datei eine weitere Überprüfung der Länder zeigt, dass die potenziellen Ziele Spanien, Griechenland, Russland und Chile sein könnten.

Was das zweite Ziel der geladenen Dex-Datei betrifft, nämlich das Herunterladen und Laden einer anderen .dex-Datei, so zeigt das folgende Bild das dafür verantwortliche Snippet:

Die dritte geladene dex-Datei enthält den eigentlichen Code, mit dem versucht wird, den Benutzer durch das Abonnieren von Premium-Diensten zu belasten. Das folgende Bild zeigt einen Teil dieses Codes:

Er funktioniert folgendermaßen: Er öffnet eine unsichtbare Webansicht und besucht eine Seite, die dem Benutzer eine Art bezahltes Abonnement anbietet. Er gibt automatisch die Telefonnummer des Geräts ein und wartet auf den Bestätigungscode. In Verbindung mit der zuvor angeforderten Erlaubnis, alle Benachrichtigungen abzuhören, ermöglicht dies der Malware, diesen Dienst zu abonnieren, und der Benutzer sieht nur eine Rechnung auf der Telefonrechnung!

Die Nutzlast der zweiten Stufe bietet außerdem zusätzliche Funktionen, darunter das Extrahieren von Informationen über das Gerät und das Senden dieser Informationen an einen anderen Host, den Zugriff auf Kontakte und den Versuch, SMS-Nachrichten zu lesen/zu versenden.

WIE KÖNNEN SIE SICH SCHÜTZEN?

Obwohl der Play Store ständig versucht, Malware zu bekämpfen, ist es klar, dass er nicht immer erfolgreich ist. Ehrlich gesagt ist es eine Herausforderung, mit sich weiterentwickelnder Malware wie Joker oder Harly Schritt zu halten, die immer neue Wege finden, um ahnungslose Benutzer auszunutzen. Angesichts der Tatsache, dass Anwendungen wie die oben beschriebenen täglich in den Play Store hochgeladen werden, sollte die goldene Regel lauten, nur Anwendungen herunterzuladen, die bereits mehrere hunderttausend Mal heruntergeladen wurden und viel positives Feedback erhalten haben.

Ganz gleich, wie zuverlässig eine Quelle zu sein scheint, achten Sie immer auf abnormales Verhalten der Anwendungen, die Sie herunterladen.