Amsterdam, 1 augustus 2022 - De Google Play Store wordt gezien als een van de veiligste plekken om Android-applicaties te downloaden. Cybercriminelen slagen er echter steeds vaker in om applicaties met gevaarlijke malware te uploaden in de Play Store. Zscaler’s TreatLabz-team ontdekte meerdere applicaties die de Joker-, FaceStealer- of Coper-malware bevatten. Zscaler heeft Google inmiddels op de hoogte gebracht en de ontdekte applicaties zijn uit de Play Store gehaald. Dit betekent helaas niet dat zij niet op een andere manier kunnen terugkeren.
Hieronder volgt een analyse van de drie malware-families die recent werden ontdekt in de Play Store en wat gebruikers kunnen doen om een infectie te voorkomen.
Joker
Joker is een van de meest prominente malware-families die zich richt op Android-apparaten. Ondanks het publieke bewustzijn van deze malware, blijft het zijn weg vinden naar de officiële app store van Google door regelmatig de traceringshandtekeningen te wijzigen. Denk hierbij aan updates aan de code, uitvoeringsmethoden en technieken voor het ophalen van payloads. Deze malware is ontworpen om SMS-berichten, contactlijsten en apparaatinformatie te stelen en het slachtoffer op te geven voor premium wireless application protocol (WAP)-services.
Het ThreatLabz-team heeft tot nu toe meer dan 50 unieke Joker-apps ontdekt in de Play Store. Deze applicaties werden gezamenlijk al meer dan 300.000 keer gedownload en vallen doorgaans in een van de volgende categorieën: communicatie, gezondheid, personalisatie, fotografie of tools.
Apps in de tools- en communicatie-categorie waren het vaakst geïnfecteerd met de Joker-malware. Het ThreatLabz-team ontdekte verder dagelijkse uploads van apps die de Joker-malware bevatten, wat wijst op een hoog activiteitenniveau. Nieuwe Joker-malwarecampagnes blijven echter wel bekende naamgevingspatronen en technieken volgen.
FaceStealer
Ook de FaceStealer-malware werd ontdekt in de Google Play Store. Deze malware staat erom bekend Facebook-gebruikers te targeten met valse Facebook-inlogschermen. Zodra het apparaat is geïnfecteerd, wordt de gebruiker gevraagd om in te loggen op Facebook. Na succesvolle aanmelding worden de inloggegevens en auth-tokens gestolen door de auteur van de malware. Eenmaal ingeschakeld, neemt de malware-app contact op met de command and control (C2) -server om het schadelijke javascript te downloaden.
Coper
Coper is een bekende trojan die zich richt op bankapplicaties in Europa, Australië en Zuid-Amerika. Eenmaal gedownload ontketent deze app de Coper-malware-infectie die in staat is om SMS-berichten te onderscheppen en verzenden, USSD (Unstructured Supplementary Service Data)-verzoeken te doen, keylogging uit te voeren, het scherm te vergrendelen/ontgrendelen, aanvallen uit te voeren en verwijdering te voorkomen. De activiteiten leiden er uiteindelijk toe dat aanvallers informatie en toegang verkrijgen die ze kunnen gebruiken om slachtoffers geld afhandig te maken.
De app vermomt zichzelf als een gratis QR-scanner. Wanneer deze is geïnstalleerd, spoort het de gebruiker aan deze direct te updaten, waardoor de malware geïnstalleerd wordt op het apparaat.
Wat kunnen Android-gebruikers doen om infectie te voorkomen?
- Installeer geen onnodige, niet-vertrouwde en niet-doorgelichte apps op uw mobiele apparaat. Blijf bij bronnen en providers die u kent en vertrouwt. Zoek naar apps met zeer hoge installatieaantallen, positieve recensies en aanbevelingen door bronnen die u vertrouwt.
- Verleen geen luister- of toegankelijkheidsrechten aan apps die u niet volledig vertrouwt. De notification listener service zorgt ervoor dat de pakketnaam van de app wordt toegevoegd aan de enabled_notification_listeners provider. Dit maakt leesmeldingen mogelijk en bevat kritieke toegangsmeldingen, zoals automatisch gegenereerde one-time wachtwoorden/pin (OTP).
- Vermijd, indien mogelijk, het installeren van messaging-apps of wees uiterst voorzichtig en neem de tijd om onderzoek te doen en ervoor te zorgen dat de app bekend is en is beoordeeld door andere gebruikers. Zelfs wanneer een link afkomstig is van een vertrouwde vriend, bedenk dan dat het apparaat van de vriend mogelijk is aangetast door malware. Messaging-apps vereisen Read_SMS-toestemming en kunnen die toestemming gemakkelijk misbruiken om informatie te verkrijgen die gebruikt kan worden om slachtoffers verder te compromitteren.
- Als u het slachtoffer wordt van een kwaadaardige app, informeer Google dan onmiddellijk via de ondersteuningsopties in de Play Store-app. Het is belangrijk dat iedereen samenwerkt om kwaadaardige apps zo snel mogelijk te identificeren en te verwijderen uit appstores om verspreiding van malware te beperken.
Bezoek de website voor meer achtergrondinformatie en een volledige technische analyse:
https://www.zscaler.com/blogs/security-research/joker-facestealer-and-coper-banking-malwares-google-play-store
Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. De Zscaler Zero Trust Exchange beschermt duizenden klanten van cyberaanvallen en dataverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verveeld over meer dan 150 datacenters wereldwijd is de op SSE-gebaseerde Zero Trust Exchange het grootste inline cloud security-platform ter wereld.
Voor meer informatie
Zscaler
Berend Sikkema
E-mail:
bsikkema@zscaler.com
Whizpr
Martine Korthals / Winnie Silvertand
Telefoon: 0317 410 483
E-mail:
zscaler@whizpr.nl