Mroczny rycerz atakuje. Niebezpieczne oprogramowanie wykrada pieniądze

CERT Polska ostrzega użytkowników systemu Android przed nową kampanią złośliwego oprogramowania Joker, które zostało wykryte w oficjalnym sklepie Google Play. W najnowszej analizie eksperci CERT Polska zidentyfikowali aplikacje infekujące urządzenia mobilne, które są wymierzone między innymi w polskich użytkowników.

A Samsung Galaxy S22 5G smartphone ahead of the Samsung Unpacked event in San Francisco, California, U.S., on Tuesday, Feb. 1, 2022. Samsung Electronics Co. announced three new smartphones and three new tablets on Wednesday, upgrading its hardware lineup with new screen sizes, better cameras and more storage to better compete with Apple Inc. Photographer: David Paul Morris/Bloomberg via Getty ImagesPrzestępcy mają nowy sposób na wykradanie pieniędzy
Źródło zdjęć: © GETTY | Bloomberg
Robert Kędzierski
oprac.  Robert Kędzierski

Eksperci CERT Polska wykryli, że jedna z analizowanych aplikacji - "Aparat kosmetyczny" z ponad 100 tysiącami pobrań - została ostatnio zaktualizowana 17 września 2024 roku. Na pierwszy rzut oka aplikacja wydaje się nieszkodliwa, oferując funkcje aparatu fotograficznego z dodatkowymi opcjami upiększania zdjęć.

W toku analizy technicznej odkryto, że Android złośliwe oprogramowanie wykorzystuje zaawansowane techniki maskowania swojej obecności. Program używa specjalnych mechanizmów szyfrowania do ukrycia komunikacji z serwerami sterującymi. Zespół CERT Polska zidentyfikował, że aplikacja komunikuje się z domeną kamisatu.top, skąd pobiera dodatkowe instrukcje.

Dalsza część artykułu pod materiałem wideo

Biznes na sprzedaży okularów. "Marże nawet 90%" - Mateusz Matula, prezes Kodano w Biznes Klasie

Wyrafinowane techniki ataku

Analiza techniczna przeprowadzona przez ekspertów ujawniła, że złośliwe oprogramowanie wykorzystuje natywną bibliotekę libphotoset.so do deszyfrowania i wykonywania szkodliwego kodu. Program pobiera zaszyfrowane dane z zewnętrznego serwera, a następnie przetwarza je w sposób niewidoczny dla użytkownika.

Bezpieczeństwo aplikacji zostało skompromitowane przez szereg zaawansowanych mechanizmów. Program wykorzystuje metodę System.loadLibrary() do dynamicznego ładowania bibliotek, co pozwala na ukrycie złośliwych funkcji przed systemami bezpieczeństwa Google Play.

Nowy sposób, by kraść pieniądze z kont. Eksperci biją na alarm
Nowy sposób, by kraść pieniądze z kont. Eksperci biją na alarm

Automatyzacja nieautoryzowanych subskrypcji

Szczególnie niebezpiecznym elementem działania Jokera jest zdolność do automatycznego aktywowania płatnych subskrypcji bez wiedzy użytkownika. Program wykorzystuje zaawansowane techniki do manipulacji interfejsem WebView i wykonywania skryptów JavaScript, które automatyzują proces subskrypcji.

Eksperci CERT Polska odkryli, że złośliwe oprogramowanie posiada kilka zaawansowanych funkcji. W pierwszej kolejności program identyfikuje kraj użytkownika i operatora sieci komórkowej poprzez analizę kodów MCC i MNC. Aplikacja wykorzystuje klasę TelephonyManager do pozyskania tych informacji, co pozwala jej na precyzyjne targetowanie ofiar.

Po identyfikacji operatora program przystępuje do procesu subskrypcji. Malware wykorzystuje zaawansowane mechanizmy do przechwytywania wiadomości SMS, które są niezbędne do potwierdzenia płatnych usług. Program automatycznie pobiera kody weryfikacyjne i wykorzystuje je do finalizacji transakcji.

Mechanizmy ochrony przed wykryciem

Złośliwe oprogramowanie wykorzystuje wyrafinowane techniki ukrywania swojej aktywności. Program implementuje własne mechanizmy szyfrowania do zabezpieczenia komunikacji z serwerami sterującymi. Wykorzystuje również techniki obfuskacji kodu, co utrudnia jego analizę przez systemy bezpieczeństwa.

CERT Polska zwraca szczególną uwagę na fakt, że aplikacja wykorzystuje metodę requestNetwork z klasy ConnectivityManager do manipulacji połączeniami sieciowymi. Pozwala to na wymuszenie korzystania z transferu danych komórkowych, nawet gdy urządzenie jest podłączone do sieci Wi-Fi.

Rozbito grupę dywersantów. "Miała prowadzić de facto do cyberwojny"
Rozbito grupę dywersantów. "Miała prowadzić de facto do cyberwojny"

Zidentyfikowane zagrożenia

Eksperci CERT Polska wyjaśniają, dlaczego oprogramowanie jest tak groźne. Aplikacja aktywnie monitoruje i przechwytuje wiadomości SMS, wykorzystując klasę BroadcastReceiver. Program automatycznie przetwarza przechwycone wiadomości w celu finalizacji nieautoryzowanych transakcji. Szczególnie niebezpieczny jest mechanizm automatycznego przetwarzania kodów PIN otrzymywanych w wiadomościach SMS.

Oszustwo jest realizowane w sposób całkowicie zautomatyzowany, bez wiedzy użytkownika. Program wykorzystuje skomplikowane mechanizmy do weryfikacji statusu transakcji i potwierdzania subskrypcji, co sprawia, że użytkownik może nie być świadomy aktywowanych usług przez dłuższy czas.

CERT Polska rekomenduje użytkownikom systemu Android podjęcie działań zabezpieczających. Szczególną ostrożność należy zachować podczas instalacji aplikacji, nawet tych dostępnych w oficjalnym sklepie Google Play. Eksperci zalecają dokładne sprawdzanie uprawnień, jakich żąda aplikacja podczas instalacji. W przypadku aparatu fotograficznego nietypowe jest żądanie dostępu do SMS-ów czy możliwości wykonywania połączeń.

W przypadku wykrycia podejrzanej aktywności lub nieautoryzowanych transakcji, CERT Polska zaleca natychmiastowe odinstalowanie podejrzanej aplikacji i kontakt z operatorem w celu zablokowania potencjalnych subskrypcji premium.

Źródło artykułu: money.pl
Wybrane dla Ciebie
Bezalkoholowe piwo i wino mają być droższe. Oto ile zarobi państwo
Bezalkoholowe piwo i wino mają być droższe. Oto ile zarobi państwo
Ukraińska spółka planuje wydobycie węgla w Polsce. Oto szczegóły
Ukraińska spółka planuje wydobycie węgla w Polsce. Oto szczegóły
Tak Putin odwdzięcza się sojusznikom. Dane są ukrywane
Tak Putin odwdzięcza się sojusznikom. Dane są ukrywane
Krystyna Pawłowicz przeniesiona w stan spoczynku. Oto na jakie pieniądze mogła liczyć
Krystyna Pawłowicz przeniesiona w stan spoczynku. Oto na jakie pieniądze mogła liczyć
Kurierzy toną w długach. Eksperci tłumaczą: syndrom darmowej paczki
Kurierzy toną w długach. Eksperci tłumaczą: syndrom darmowej paczki
Unijne dotacje dla kolei pod znakiem zapytania
Unijne dotacje dla kolei pod znakiem zapytania
Ile kosztuje euro? Kurs euro do złotego PLN/EUR 05.12.2025
Ile kosztuje euro? Kurs euro do złotego PLN/EUR 05.12.2025
Ile kosztuje frank szwajcarski? Kurs franka do złotego PLN/CHF 05.12.2025
Ile kosztuje frank szwajcarski? Kurs franka do złotego PLN/CHF 05.12.2025
Ile kosztuje dolar? Kurs dolara do złotego PLN/USD 05.12.2025
Ile kosztuje dolar? Kurs dolara do złotego PLN/USD 05.12.2025
Ile kosztuje funt? Kurs funta do złotego PLN/GBP 05.12.2025
Ile kosztuje funt? Kurs funta do złotego PLN/GBP 05.12.2025
Pozwolenie na pracę w USA. Urząd ogłosił zmiany
Pozwolenie na pracę w USA. Urząd ogłosił zmiany
Sala za 300 mln dolarów na 1000 osób. Trump zatrudnił nowego architekta
Sala za 300 mln dolarów na 1000 osób. Trump zatrudnił nowego architekta