Мы не раз рассказывали о вредоносе Joker (или Bread в терминологии Google), впервые обнаруженном ИБ-специалистами в 2017 году. Изначально малварь была разработана для осуществления SMS-мошенничества, но с тех пор многое изменилось, особенно после введения новой политики, ограничивающей использование SEND_SMS, а также повышения активности защиты Google Play Protect. Из-за этого новые версии Joker использовали другой вид мошенничества: обманом заставляли своих жертв подписываться на различные виды контента или покупать его, оплачивая со счета мобильного телефона. Чтобы осуществлять это без взаимодействия с пользователем, операторы малвари использовали инъекции кликов, кастомные HTML-парсеры и SMS-ресиверы. Со временем Joker эволюционировал настолько, что использовал практически все известные техники скрытия и обфускации, а в начале текущего года в Google Play стали находить все больше вариантов Joker, часть компонентов которого была вынесена в нативный код. Теперь эксперты из компании Check Point сообщили, что вновь обнаружили Joker в официальном каталоге приложений. На этот раз вредонос скрывал вредоносный код (вредоносный исполняемый файл DEX, закодированный Base64) внутри файла манифеста в легитимных приложениях. Файл манифеста хранится в корневой папке приложения и содержит важную информацию, которая нужна системе Android, в том числе, данные об имени, иконке и необходимых правах. Только после получения данных из манифеста система может выполнить какой-либо код приложения. На этот раз атака Joker желилась на три этапа. Первый этап — подготовка полезной нагрузки. Операторы Joker заранее внедряли вредоносный код в файл манифеста, но загрузка непосредственного пейлоада происходила не сразу. Так, во время прохождения проверок Joker даже не пытался загружать вредоносную полезную нагрузку, что помогло операторам малвари в очередной раз обмануть средства защиты Google Play Store. Лишь после того, как механизмы безопасности в Google Play Store одобряли приложение, полезная нагрузка определялась и загружалась уже непосредственно на устройство жертвы. Одно из зараженных приложений В итоге новая вариация Joker могла загружать на устройство дополнительные вредоносные программы, которые тайно подписывали жертву на платные сервисы. В официальном каталоге Google было обнаружено 11 таких зараженных приложений, которые были удалены из Play Store до 30 апреля 2020 года. «Joker все время меняется, приспосабливаясь к новым условиям. Мы обнаружили, что он скрывается в файле с необходимой информацией, файле, который содержится в каждом Android-приложении, — рассказывает Авиран Хазум, специалист по мобильным исследованиям Check Point Software Technologies. — Наши последние исследования показывают, что защиты Google Play Store недостаточно. Мы еженедельно выявляли многочисленные случаи загрузки Joker в Google Play, каждая из которых была произведена ничего не подозревающими пользователями. Вредоносное ПО Joker сложно обнаружить, несмотря на инвестиции Google в средства защиты Play Store. Хотя сейчас Google удалил вредоносные приложения из Play Store, можно предположить, что Joker снова вернется. Каждому пользователю желательно знать об этой программе и понимать, как можно от нее пострадать».