O malware Coringa (Joker), que toma emprestado o nome do famoso vilão, tem um modus operandi que se repete: chega disfarçado ao Google Play como se fosse um app de personalização de teclado, wallpaper, editor de foto ou um minijogo. Detectados, os aplicativos suspeitos são removidos. Em seguida, o Coringa faz alguns ajustes e passa pelas verificações automáticas de novo.
No site da Zscaler, empresa de segurança em nuvem, pesquisadores afirmam que o malware sempre dá "um jeitinho" de retornar à loja oficial do Google, e até mesmo em outras de grande porte, como a da Huawei. Segundo os especialistas, o Coringa é projetado para roubar mensagens SMS, listas de contato e inscrever suas vítimas em serviços de protocolo de aplicativo sem fio (WAP).
O malware reincidente já está na mira da equipe do Zscaler há bastante tempo, mas a empresa percebeu recentemente uma verdadeira pandemia de uploads no Google Play. Tão logo confirmada a presença do Coringa, a equipe de segurança do Google Android foi alertada, para a remoção de mais de uma dúzia de aplicativos infectados.
Como o Coringa ataca?
Fonte: Warner Bros./DivulgaçãoFonte: Warner Bros.
De acordo com a análise da Zscaler, os cibercriminosos utilizam uma técnica chamada versioning: eles lançam versões totalmente inofensivas do aplicativo para passar pelos filtros de segurança do Google. Após conquistar a confiança dos usuários, o Coringa passa a adotar três diferentes táticas para se infiltrar na loja.
A primeira estratégia consiste na incorporação direta da URL do servidor de comando e controle (C2) no próprio código. No entanto, para que ele não possa ser lido num processo de engenharia reversa, os cibercriminosos ofuscam o string, tornando o bytecode praticamente ilegível.
A segunda tática é o download de uma carga de malware de segundo estágio, que faz a codificação das URLs com um Padrão de Criptografia Avançada (AES), tornando-as igualmente indetectáveis. Finalmente, na carga final, o código malicioso emprega o tradicional algoritmo Data Encrypted Standard (DES), para transformar a string em um bloco de texto cifrado.
Comentários