A Google removeu 24 aplicações da sua loja devido a estarem infetadas por um novo spyware dado pelo nome de "The Joker."
Este spyware consegue roubar mensagens de texto, listas de contactos, informação sobre o dispositivo e consegue ainda subscrever as vítimas em serviços premium.
Foram mais de 37 países os infetados, e contava já com quase meio milhão de instalações.
Como funciona?
Este spyware verifica os cartões SIM associados a cada um dos países infetados. E os especialistas repararam que os códigos relativos aos servidores de comando e controlo e associados aos bots incluíam comentários escritos em chinês. Entre as capacidades deste spyware está também a evasão à verificação efetuada pela Play Store. Os especialistas verificaram também que o código malicioso se escondia dentro das frameworks correspondentes à publicidade.
Desta forma, assim que o spyware fosse instalado, aparecia um ecrã com o logotipo da aplicação, e ao mesmo iniciavam-se vários processos em background.
Além de carregar um ficheiro DEX numa segunda fase, o código recebe também via HTTP código dinâmico e comandos. Depois, procede a callbacks de Javascript para Java, o que permite realizar análise estática. Desta forma, relativamente à subscrição de serviços premium, spyware consegue expor as vítimas a conteúdo publicitário e intercetar mensagens com o código de confirmação aquando da subscrição a estes serviços.
Como prevenir:
Os especialistas apontam que a principal e melhor forma de prevenção destas situações está do lado do utilizador, ou seja, é sempre necessário ter em atenção o tipo de permissões que cada aplicação pede ao utilizador antes de ser instalada.
Mais informações: https://threatpost.com/joker-spyware-google-play-apps/148053/