2017 yılından bu yana fatura sahtekarlığı ve kullanıcıları ücretli servislere abone etmesiyle bilinen Joker truva atı, yeni teknik ve güncellemelerle Google Uygulama Mağazası’na tekrardan geri döndü.
Zimperium araştırmacılarının analizleri sonucunda Joker truva atını barındıran Android uygulamalarının, Google Uygulama Mağazası’na geri döndüğünü ve büyük bir artış yaşandığını tespit edilmiş. Bununla birlikte Google’ın uygulama inceleme sürecini aşmak içinde yeni yaklaşımlar sergilendiği belirtiliyor. Joker truva atı kamera uygulamaları, oyunlar, mesajlaşma programları, fotoğraf editörleri vs. gibi legal ve zararsız gözüken uygulamalar içerisinde kendini gizleyerek, varlığını sürdürmüştü. Zimperium araştırmacılarına göre, 2017 yılından bu yana da Joker truva atı bulaşmış 1800’den fazla uygulama, Google Uygulama Mağazası’ndan kaldırılılmış.
Bu zararlı yazılımı barındıran uygulamalar, hem resmi hem de resmi olmayan 3. parti uygulama mağazalarında var olmak için yeni ve geliştirilmiş yollar kullanmışlar. Google’un yıllar içindeki geliştirdiği teknikler ve teknolojilere rağmen, tehdit aktörlerinin geliştirdiği mobil zararlı yazılımlar geliştirilmeye ve yeni teknikler kullanmaya devam ediyorlar.
Eylül 2020’den itibaren tekrar yükselişte
Araştırmacılara göre Joker’in şu anda mevcut ve geliştirilmiş sürümünün arkasında bulunan tehdit aktörleri, geleneksel ve eski tabanlı mobil güvenlik araç setlerinden gizlemeye çalışmak için meşru geliştirici tekniklerinden yararlanıyorlar. Bunu yapmak içinde geliştiricilerin tek bir kod tabanından mobil, web ve masaüstü için yerel uygulamalar oluşturmasına olanak tanıyan, Google tarafından tasarlanan açık kaynaklı bir uygulama geliştirme kiti olan Flutter’ı kullanıyorlar. Flutter’ın ortak özelliği nedeniyle, kötü amaçlı uygulama kodu bile meşru ve temiz görünebiliyor.
Araştırmacılar, Eylül 2020’den bu yana en az 1000 yeni Joker varyantı tespit edildiğini ve bunların bir çoğunun resmi uygulama marketine girme yolunu bulduğunu söyledi.
Huawei’nin Resmi Android uygulama mağazısında tespit edilmiş
Joker truva atı içeren uygulamaların yalnızca Google Play’de ve 3.parti uygulama mağazalarında değil, hatta ilk kez olmak üzere diğer onaylanmış mağazalarda da ortaya çıktığı görülmüş. Örneğin, Huawei’nin Android için resmi uygulama mağazası olan AppGallery’nin yakın zamanda Joker truva atını içeren uygulamalarla istila edildiği tespit edilmiş. Doctor Web’e göre Nisan ayında yayınladığı bir araştırmada, Joker truva atı içeren uygulamaların farkında olmayan kullanıcılar tarafından 538.000’den fazla cihaza indirildiği belirtilmiş.
