Aktor penjahat siber di balik malware Joker ditemukan sekali lagi berhasil menyelinapkan aplikasi berbahaya ke dalam Google Play Store.
Aplikasi Android yang mengandung malware Joker, spyware serta dialer premium yang juga dikenal sebagai Bread dan dilacak sejak 2017, pada awalnya dirancang untuk melakukan penipuan SMS.
Baru-baru ini, operator malware Joker terdeteksi menggunakan taktik baru setelah Google memperkenalkan kebijakan Play Store baru yang membatasi penggunaan izin SEND_SMS dan meningkatkan cakupan Google Play Protect.
Versi terbaru malware Android ini sekarang digunakan untuk jenis penipuan tagihan seluler yang dikenal sebagai penipuan toll. Melalui taktik baru ini, operator Joker menggunakan aplikasi berbahaya untuk mengelabui korban agar berlangganan atau membeli berbagai jenis konten melalui tagihan ponsel mereka.
Melawan pertahanan Google Play Store
Varian baru Joker berhasil menyelinap ke Play Store dan menginfeksi pengguna Android setelah menyembunyikan muatan berbahaya sebagai file dex yang disembunyikan dalam string o Base64 di dalam file AndroidManifest aplikasi yang tampaknya seperti tidak berbahaya.
Ini memungkinkan malware untuk berhasil menghindari deteksi saat dianalisis untuk proses pengiriman dan bahkan varian baru ini menghadirkan fitur baru yang memungkinkan operator malware dari jarak jauh mengirim kode status “false” dari server command-and-control (C2) mereka untuk menangguhkan aktivitas berbahaya.
Secara keseluruhan, para peneliti di Check Point yang melihat varian baru Joker melaporkan 11 aplikasi ke Google, dan aplikasi-aplikasi yang dilaporkan tersebut saat ini sudah dihapus dari Play Store per-30 April 2020.
Baca Juga: “Google Hapus 25 Aplikasi Android Yang Ditemukan Mencuri Akun Facebook“
Daftar hash sampel malware dan nama paket Android untuk semua aplikasi yang ditemukan mengandung Joker tersedia dalam tabel di bawah ini:
| sha256 | Package Name |
| db43287d1a5ed249c4376ff6eb4a5ae65c63ceade7100229555aebf4a13cebf7 | com.imagecompress.android |
| d54dd3ccfc4f0ed5fa6f3449f8ddc37a5eff2a176590e627f9be92933da32926 | com.contact.withme.texts |
| 5ada05f5c6bbabb5474338084565893afa624e0115f494e1c91f48111cbe99f3 | com.hmvoice.friendsms |
| 2a12084a4195239e67e783888003a6433631359498a6b08941d695c65c05ecc4 | com.relax.relaxation.androidsms |
| 96f269fa0d70fdb338f0f6cabf9748f6182b44eb1342c7dca2d4de85472bf789 | com.cheery.message.sendsms |
| 0d9a5dc012078ef41ae9112554cefbc4d88133f1e40a4c4d52decf41b54fc830 | com.cheery.message.sendsms |
| 2dba603773fee05232a9d21cbf6690c97172496f3bde2b456d687d920b160404 | com.peason.lovinglovemessage |
| 46a5fb5d44e126bc9758a57e9c80e013cac31b3b57d98eae66e898a264251f47 | com.file.recovefiles |
| f6c37577afa37d085fb68fe365e1076363821d241fe48be1a27ae5edd2a35c4d | com.LPlocker.lockapps |
| 044514ed2aeb7c0f90e7a9daf60c1562dc21114f29276136036d878ce8f652ca | com.remindme.alram |
| f90acfa650db3e859a2862033ea1536e2d7a9ff5020b18b19f2b5dfd8dd323b3 | com.training.memorygame |
Untuk pengguna yang telah menginstal salah satu aplikasi yang mengandung Joker, sangat disarankan segera memeriksa ponsel dan riwayat transaksi untuk melihat apakah ada pembayaran mencurigakan yang mencurigakan. Selain itu, pastikan untuk memeriksa dengan cermat izin perangkat untuk setiap aplikasi yang diinstal.
