Deux familles de malwares sans rapport mais concernant, surnommées Joker et Haken, sont à nouveau apparues dans le Google Play Store. C’est selon les chercheurs de Check Point qui ont récemment découvert le malware. Selon les chercheurs, les deux familles continuent d’évoluer pour contourner les politiques de sécurité et les contrôles de Google.

Bien sûr, la grande histoire ici est le retour d’une nouvelle variante plus virulente de la famille de logiciels malveillants « Joker ». Également appelé «pain», Google a commencé à suivre le logiciel malveillant de fraude de facturation en 2017. Selon le géant de la recherche, Joker utilise à peu près toutes les astuces du livre pour ne pas être détecté. Il va même jusqu’à se déguiser expressément dans le but d’atterrir sur le Google Play Store.

En résumé, Joker utilise les données de géolocalisation pour découvrir les services premium disponibles dans la région d’un numéro de téléphone donné. Ensuite, il s’inscrit à ces services, en utilisant des tactiques louches pour d’abord recevoir et utiliser des codes de vérification avant de supprimer les messages SMS. De cette façon, l’utilisateur n’est jamais au courant de la transaction et doit payer des factures pour des services premium.

Ceux-ci ne peuvent pas être facilement identifiés et, par conséquent, il peut être difficile de se désinscrire.

Les chercheurs de Check Point ont découvert une nouvelle variante du logiciel malveillant à l’aide de signatures créées sur mesure. Les preuves suggèrent que Joker évolue toujours et est toujours poussé vers les utilisateurs finaux sur Android. Check Point a révélé le problème à Google le 3 janvier. La société a supprimé le malware malveillant du Play Store trois jours plus tard.

Joker est déjà assez mauvais mais Haken est toujours bien vivant dans le Play Store

Il n’est pas rare que Google supprime des applications du Play Store en raison de logiciels malveillants. La fraude publicitaire et la fraude à la facturation sont parmi les raisons les plus importantes derrière cela. Et cela a continué de se produire même récemment.

Joker est une menace plus sérieuse car, selon Check Point, il agit également comme un logiciel espion. Mais les chercheurs ont également découvert séparément une augmentation continue de la famille de logiciels malveillants « Haken » tout en suivant un autre logiciel malveillant appelé « BearCloud ».

BearCloud et Haken sont similaires en ce sens qu’ils fonctionnent tous deux comme des clickers. Haken est peut-être le plus préoccupant des deux, malgré les récentes augmentations de l’activité BearCloud. C’est à la fois en raison de son fonctionnement et de sa capacité à échapper aux efforts de Google pour garder les logiciels malveillants hors de son Play Store.

BearCloud utilise un itinéraire plus indirect, agissant via une vue Web et JavaScript malveillant pour cliquer sur les annonces. Haken utilise des ressources et du code natifs, s’injectant dans les bibliothèques Facebook et AdMob. Il communique ensuite avec un serveur distant externe pour obtenir sa configuration.

Haken utilise son entrée de porte dérobée dans Ad-APK pour induire les utilisateurs en erreur avec de fausses annonces et générer des revenus publicitaires. Il utilise également des autorisations pour «  imiter  » les clics des utilisateurs sur ces publicités et peut creuser dans plus d’applications que Facebook.

Que peut-on faire pour résoudre ces problèmes?

Check Point indique que Joker a retrouvé son chemin sur le Google Play Store presque chaque semaine depuis son lancement initial. Le problème semble donc être qu’il continue d’évoluer plus rapidement que ne peut le faire Google. Cette fois, Joker a évité d’apparaître pour les utilisateurs aux États-Unis ou au Canada, mais c’est toujours un gros problème ailleurs.

Malgré le fait que Joker, Haken et BearCloud aient été repérés dans le Play Store officiel, Check Point suggère toujours aux utilisateurs de télécharger des applications sur le marché officiel comme première ligne de défense. Il souligne également que les appareils qui sont mis à jour en termes d’applications et d’OS sont moins susceptibles d’être vulnérables aux logiciels malveillants. Enfin, les utilisateurs doivent conserver une solution de sécurité installée pour surveiller plus activement les menaces.

Au moment d’écrire ces lignes, les applications qui étaient affectées par le malware ont toutes été supprimées.

Laisser un commentaire