25 januari 2019 
3 min. leestijd

"Joker" Malware gevonden in populaire Android Apps!

De laatste maanden zijn er een aantal apps de Google Playstore gepubliceerd. Deze apps brachten echter meer met zich mee dan op het eerste oog te zien is, namelijk malware genaamd “Joker”.
Aleksejs Kuprins, Malware Analyst at CSIS Security Group heeft de malware gevonden.

Wat doet ‘Joker malware’?

De “Joker” malware is ontworpen om, zonder dat de gebruiker het door heeft, een maandelijkse betaalde subscriptie te maken op een service.
Aleksejs Kuprins geeft in zijn blog het volgende voorbeeld hoe mensen in Denemarken slachtoffer zijn geworden:

For example, in Denmark, Joker can silently sign the victim up for a 50 DKK/week service (roughly ~6,71 EUR). This strategy works by automating the necessary interaction with the premium offer’s webpage, entering the operator’s offer code, then waiting for a SMS message with a confirmation code and extracting it using regular expressions. Finally, the Joker submits the extracted code to the offer’s webpage, in order to authorize the premium subscription.
Aldus Aleksejs Kuprins, 3 September 2019.

In het kort vertaald, de Joker voert een aantal handelingen uit waar normaal gesproken een gebruiker aan te pas komt. Hierdoor wordt het dus mogelijk gemaakt om een maandelijkse subscriptie te maken op een betaalde service. Het lijkt erop dat hiervoor een aantal vereisten zijn. Zo moet het gedesinfecteerde toestel een SIM kaart bevatten uit een lijst met specifieke landen voordat de Joker zijn werk dan doen. Alhoewel niet bekend is of dit echt een vereiste is. Wat zou kunnen betekenen dat het virus, ongeacht de vereisten, gewoon zijn werk kan doen.

De lijst met getroffenen

Het lijkt erop dat een select aantal landen de slachtoffers zijn geworden. De lijst met bekende getroffen landen zijn: Nederland, België, Duitsland, Griekenland, Italië, Spanje, Zwitserland, Noorwegen, Zweden, Engeland, Frankrijk, Oostenrijk, Polen, Turkije, Portugal, Brazilië, Cyprus, Egypte, Oekraïne, Amerika, China, Australië, Ghana, Honduras, India, Indonesië, Ierland, Koeweit, Maleisië, Birma, Qatar, Argentinië, Servië, Singapore, Slovenië, Thailand en mogelijk nog veel meer…

landen die getroffen zijn door de malware.

Getroffen landen.

De boosdoeners

Hieronder staat de lijst met de apps waarvan bekend is dat ze de malware met zich mee dragen:

  • Advocate Wallpaper
  • Age Face
  • Altar Message
  • Antivirus Security – Security Scan
  • Beach Camera
  • Board picture editing
  • Certain Wallpaper
  • Climate SMS
  • Collate Face Scanner
  • Cute Camera
  • Dazzle Wallpaper
  • Declare Message
  • Display Camera
  • Great VPN
  • Humour Camera
  • Ignite Clean
  • Leaf Face Scanner
  • Mini Camera
  • Print Plant scan
  • Rapid Face Scanner
  • Reward Clean
  • Ruddy SMS
  • Soby Camera
  • Spark Wallpaper

Google denkt en werkt mee!

Het lijkt erop dat Google op de hoogte is van de Joker aanval, aangezien ze alle bekende apps al verwijderd hebben uit hun app store zonder enige inbreng van externe partijen. Echter is het kwaad op vele plekken al geschied, de app(s) zijn namelijk al gemiddeld per app 100.000 keer geïnstalleerd over verschillende landen. Het is dus nog steeds mogelijk dat u hiervan de dupe bent (of bent geweest). Verder is Google maatregelen aan het nemen om joker malware te elimineren uit hun app store.

Wat kan ik doen om dit te verhelpen?

Om te beginnen kunt u een kijkje nemen naar de geïnstalleerde apps op uw toestel. Mocht een van de bovenstaande apps in de lijst met geïnstalleerde apps staan, noteer dan de datum van wanneer deze apps geïnstalleerd zijn. Vervolgens verwijdert u deze app(s) ONMIDDELLIJK! Check uw bankgegevens voor onbekende betalingen die vanaf de genoteerde datum voorkomen, en voor de zekerheid alle betalingen tot op heden. Het gaat in het geval van de Joker virus om kleine betalingen, dus houdt hiervoor een extra oogje in het zeil. Kijk ook gelijk even in uw Sms’jes of hier een verdachte SMS in staat. Vergeet wederom niet om ook andere Sms’jes te checken voor de zekerheid.

Een waarschuwing van De ICT Ruyters

Een virus zit dus in een klein hoekje, zelfs vanuit vertrouwde bronnen (in dit geval de Google Playstore). Dit betekent niet dat u geen gebruik meer moet maken van deze vertrouwde bronnen. Doe dit echter niet roekeloos. Iedereen kan een app in de Google Playstore plaatsen, ook kwaadwillende mensen. Dit geldt voor elk platform waarbij gebruikers vrijwillig content aan kunnen toevoegen (denk aan Wikipedia, Marktplaats etc.). Download dus nooit en te nimmer iets waarvan niet bekend is of dit in orde is. Kijk altijd eerst naar de reviews, wie de uitgever is en naar het aantal downloads. Dit is echter ook niet altijd genoeg. Kunt u na het onderzoek niet concluderen of de app veilig is of niet, houd dan het volgende in gedachte: er is altijd een alternatief. Er zijn duizenden apps die hetzelfde voor elkaar krijgen, kies er een die wel aan de voorgenoemde criteria voldoet.

Bron: Medium


 

Veiligheid en gemak gaan vaak niet hand in hand. Bijna overal waar een extra laag beveiliging aan toegevoegd wordt, moeten er extra handelingen verricht worden, wat ons leven niet veel makkelijker maakt. Daarentegen zijn er wel methodes om de verloren tijd aan veiligheid en het gemak van leven terug aan te vullen.