Vírus Coringa volta ao Google Play e ameaça milhões de dispositivos

O malware Coringa (Joker), que toma emprestado o nome do famoso vilão, tem um modus operandi que se repete: chega disfarçado ao Google Play como se fosse um app de personalização de teclado, wallpaper, editor de foto ou um minijogo. Detectados, os aplicativos suspeitos são removidos.

Em seguida, o Coringa faz alguns ajustes e passa pelas verificações automáticas de novo.

No site da Zscaler, empresa de segurança em nuvem, pesquisadores afirmam que o malware sempre dá "um jeitinho" de retornar à loja oficial do Google, e até mesmo em outras de grande porte, como a da Huawei. Segundo os especialistas, o Coringa é projetado para roubar mensagens SMS, listas de contato e inscrever suas vítimas em serviços de protocolo de aplicativo sem fio (WAP).

O malware reincidente já está na mira da equipe do Zscaler há bastante tempo, mas a empresa percebeu recentemente uma verdadeira pandemia de uploads no Google Play. Tão logo confirmada a presença do Coringa, a equipe de segurança do Google Android foi alertada, para a remoção de mais de uma dúzia de aplicativos infectados.

Como o Coringa ataca?


De acordo com a análise da Zscaler, os cibercriminosos utilizam uma técnica chamada versioning: eles lançam versões totalmente inofensivas do aplicativo para passar pelos filtros de segurança do Google. Após conquistar a confiança dos usuários, o Coringa passa a adotar três diferentes táticas para se infiltrar na loja.

A primeira estratégia consiste na incorporação direta da URL do servidor de comando e controle (C2) no próprio código. No entanto, para que ele não possa ser lido num processo de engenharia reversa, os cibercriminosos ofuscam o string, tornando o bytecode praticamente ilegível.

A segunda tática é o download de uma carga de malware de segundo estágio, que faz a codificação das URLs com um Padrão de Criptografia Avançada (AES), tornando-as igualmente indetectáveis. Finalmente, na carga final, o código malicioso emprega o tradicional algoritmo Data Encrypted Standard (DES), para transformar a string em um bloco de texto cifrado.



Fonte:
TechRadar

--------------------------------------------------------------------------------------
Enfim, gosta do Portal Vovo GaTu😍?
Siga-nos nas redes sociais. 
Fique por dentro das noticias, e nao perca nada!😄 Contamos consigo!

Assine as notificações de Feed do Site, Telegram,WhatsApp, Twitter, Facebook, Canal de  Noticias no Discord ou no Pinterest, há, e nos adicione ãos favoritos do seu navegador.

Conheça nossa EquipeHerley costa:
É o editor chefe e criador do canal do Vovo Gatu, supervisiona todos os conteúdos publicados diariamente, mas faz um pouco de tudo, desde notícias, análises a vídeos, tutoriais e lives para o nosso canal do Youtube. Gosta de experimentar todo o tipo de jogos, mas prefere, mundos abertos e jogos online com longa longevidade. Um grande apaixonado por vídeo games e filmes desde criança, nunca deixou de jogar ou assistir um filme praticamente por todos os dias desde que se conhece por gente.

--------------------------------------------------------------------------------------
أحدث أقدم