Joker – specyficzny Trojan

Autor: Malgorzata Cwynar pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 26 października 2024

26

paź
2024

Z corocznych sprawozdań przedstawianych przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) wynika, że złośliwe oprogramowanie (z ang. malware) jest jednym z największym zagrożeń dla bezpieczeństwa danych. Szczegółowe informacje na temat malware’u można znaleźć w Komunikacie IOD-y. Malware występuje pod wieloma postaciami. Jedną z nich są „trojany”.

CZYM JEST TROJAN

Trojan (zwany również koniem trojańskim) jest rodzajem złośliwego oprogramowania, którego istota polega na podszywaniu się pod ciekawe lub przydatne aplikacje. Nazwa „trojan” pochodzi od starożytnej opowieści o koniu trojańskim, dzięki któremu podstępem udało się wprowadzić wrogie wojsko do Troi. Żołnierze byli ukryci wewnątrz wielkiej drewnianej figury w kształcie konia. W bardzo podobny sposób twórcy trojanów ukrywają swoje prawdziwe zamiary, tworząc oprogramowanie zawierające zarówno funkcje przydatne użytkownikowi, jak i złośliwy kod, bądź podszywające się pod inne popularne aplikacje.

ZŁOŚLIWE FUNKCJE TROJANÓW

Oprogramowanie typu trojan oprócz ciekawych lub przydatnych funkcji skrywa również dodatkowy, bardzo często ukryty (zaciemniony) kod. Trojan może wykonywać różnorodne działania, które zależą od intencji cyberprzestępców. Za pomocą aplikacji tego typu może dojść m.in. do:

  1. szpiegowania lub kradzieży danych użytkownika (takich jak loginy i hasła, numery kart kredytowych),
  2. instalacji dodatkowego złośliwego oprogramowania (np. ransomware, o którym więcej informacji można znaleźć w Komunikacie IOD-y),
  3. umożliwienia hackerom zdalnego dostępu do zainfekowanego urządzenia (tzw. backdoor) lub wykonywania na nim automatycznie działań bez autoryzacji, a nawet wiedzy, użytkownika (np. otwieranie wybranych stron internetowych lub kasowanie plików).

CZYM JEST JOKER

Joker to typ konia trojańskiego działający na telefonach z systemem Android. Tym, co go wyróżnia  jest generowanie przychodów cyberprzestępcom poprzez zapisanie użytkownika do płatnego serwisu internetowego lub uruchomienie innych płatnych usług (np. subskrypcji), bez jego wiedzy.

Jokery bardzo trudno wykryć i wciąż powstają nowe, a wykorzystywane są różne ich wersje. W ciągu ostatnich lat cyberprzestępcy przemycili jokera do tysięcy aplikacji, które zostały pobrane przez wielu użytkowników. Co ważne, aplikacje zawierające oprogramowanie typu joker są dostępne również w  oficjalnym sklepie z aplikacjami, tj. Google Play. W związku z tym bardzo wielu użytkowników nieświadomie pobiera samodzielnie na swoje urządzenie złośliwe oprogramowanie. Na szczęście tego typu aplikacje są dość szybko namierzane i usuwane z Google Play. Niestety do tego czasu jokerem może zostać zainfekowanych wiele urządzeń.

Tym, co może wskazywać na zainfekowanie smartfonu jokerem jest m.in:

  1. spowolnienie działania urządzenia,
  2. ustawienia systemowe zmieniane bez ingerencji użytkownika,
  3. pojawianie się podejrzanych aplikacji, których nie instalował użytkownik,
  4. znaczny wzrost szybkości rozładowywania baterii,
  5. podejrzane pozycje na wyciągu z rachunku bankowego.

BEAUTY CAMERA

W ostatnim czasie w Google Play pojawił się joker „Beauty Camera”, podszywający się pod prawdziwą aplikację o podobnej nazwie „BeautyCam”. Fałszywa aplikacja miała ponad 100 tys. pobrań. Chociaż było to znacznie mniej niż w przypadku oryginalnej „apki”, wersja z jokerem pozycjonowała się dość wysoko w Google Play, dzięki czemu nie wzbudzała podejrzeń potencjalnych ofiar.

Po zainstalowaniu oprogramowania dochodziło do zakupu płatnych subskrypcji. Cyberprzestępcy wykorzystywali do tego rachunek u operatora telekomunikacyjnego ofiary. Kod uwierzytelniający potrzebny do opłacenia subskrypcji, który przychodził jako SMS był przechwytywany przez cyberprzestępców. Umożliwiało to wykupienie subskrypcji bez zgody użytkownika. Szczegóły działania aplikacji i wyniki jej inżynierii wstecznej opisano w publikacji CERT Polska.

INNE APLIKACJE ZAWIERAJĄCE JOKERA

Szacuje się, że jokery pojawiły się w 2017 roku. Od tego czasu systematycznie zwiększa się liczba użytkowników dotkniętych szkodliwym działaniem tego typu oprogramowania. Oprócz „Beauty Camera” do aplikacji infekujących urządzenie jokerem zaliczają się m.in: „Easy Painting”, „Battery Charging Animation Bubble Effects”, „Easy PDF Scanner”, „Flashlight Flash Alert on Call”.

JAK SIĘ CHRONIĆ

Cyberprzestępcy dbają o to, aby ciężko było rozpoznać szkodliwe oprogramowanie. Należy więc unikać aplikacji niedawno dodanych do Google Play i tych z małą liczbą pobrań. Najczęściej jokera zawierają programy mające poprawić funkcjonalność urządzenia (np. oszczędzające baterię lub wprowadzające funkcję świecenia latarki podczas przychodzącego połączenia). Dlatego szukając takich aplikacji należy zachować szczególną ostrożność.

Bardzo ważne jest, aby na urządzeniu zainstalowane było oprogramowanie antywirusowe. Warto również monitorować rachunek bankowy i szybko reagować na podejrzane transakcje.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.