عودة برنامج Joker الضار - إليك ما تحتاج إلى معرفته للبقاء محميًا

نشرت: 2021-06-28

عودة الجوكر غير المضحك. هنا ، لا نشير إلى الجوكر الذي يجلب الابتسامة على وجهك. بدلاً من ذلك ، نتحدث عن البرامج الضارة السيئة التي تسرق معلوماتك. وهذه المرة ، (وفقًا لـ Quick Heal Security Labs) ، أصابت ثمانية تطبيقات جديدة على متجر Google Play. تم اكتشاف برنامج ضار لـ Joker في مكان ما حوالي عام 2017 ، وقد تم العثور عليه يصيب ما يصل إلى 40 تطبيق Android.

ولكن ما هي البرامج الضارة لـ Joker وكيف تعمل؟ هل هناك طريقة للبقاء محمي؟ لمعرفة المزيد عنها اقرأ المزيد.

ما هي برامج جوكر الضارة؟

تم اكتشاف Joker في تطبيقات Google Play Store على مدار السنوات الثلاث الماضية ، وهو ينتمي إلى إحدى عائلات البرامج الضارة المعروفة التي تستهدف أجهزة Android. لا يعني ذلك أن Google ليست على علم بهذه البرامج الضارة ، أو أنها لا تتخذ أي إجراءات. ومع ذلك ، فإن البرامج الضارة ذكية بما يكفي لتشق طريقها إلى سوق تطبيقات Google الرسمي. لإصابة التطبيقات ، يقوم برنامج طروادة الضار بتغيير التعليمات البرمجية أو طرق التنفيذ أو تقنيات استرداد الحمولة.

الغرض الرئيسي من برنامج التجسس هذا هو تسجيل الضحايا بصمت للحصول على خدمات بروتوكول التطبيقات اللاسلكية المتميزة (WAP) ، وسرقة قوائم جهات الاتصال ، ورسائل SMS ، ومعلومات الجهاز.

كيف تعمل برامج جوكر الضارة؟

لسرقة المعلومات وإصابة الجهاز وإجبار الأشخاص على الاشتراك في اشتراكات مميزة دون معرفة وموافقة ، يدخل Joker Malware إلى الجهاز عبر تطبيقات مختلفة ثم يؤدي جميع المهام بصمت. الأهم من ذلك ، أن حصان طروادة يتفاعل مع مواقع الإعلان في الخلفية ويشترك الضحية في الخدمات المتميزة.

عند إطلاق هذه التطبيقات المصابة ، يُطلب إذن الوصول إلى الإشعارات ، فهذا يساعد في الحصول على بيانات الإشعارات والرسائل القصيرة عبر الإشعار. بعد ذلك ، تطلب Joker Malware الوصول إلى جهات الاتصال متبوعًا بإذن إدارة المكالمات الهاتفية. بمجرد منح جميع الأذونات المطلوبة ، يستمر برنامج حصان طروادة الضار في العمل في الخلفية دون إظهار أي علامات على وجود نشاط ضار للمستخدم.

اقرأ أيضًا: ما هو FileRepMalware؟ كيف يمكنك التخلص منه؟

ما الذي يجعل جوكر خطيرًا جدًا؟

مثل Joker في سلسلة Batman ، فإن هذا الجوكر مخيف وخطير أيضًا.

جوكر البرمجيات الخبيثة

نظرًا لاستخدام الضحية للتطبيق المصاب ، يبدأ برنامج Joker الضار في التجسس على الهاتف وسرقة المعلومات وإرسالها إلى المتسللين عن بُعد. يقوم جوكر أيضًا بنسخ الرسائل النصية القصيرة وقوائم جهات الاتصال ومشاركة المعلومات الخاصة السرية والتي تُستخدم بعد ذلك لسرقة الهوية والاحتيال وأنشطة القرصنة الأخرى.

الأمر الأكثر إثارة للقلق بشأن Joker هو أنه قادر على تسجيل الأجهزة المصابة تلقائيًا لخدمات بروتوكول التطبيقات اللاسلكية المتميزة (WAP). هذا يمكن أن يكلف الكثير للمستخدمين في الشهر.

لماذا تتصدر البرامج الضارة جوكر عناوين الأخبار؟

مؤخرًا ، وفقًا لتقرير جديد صادر عن Quick Heal ، تم اكتشاف أن برامج التجسس تصيب ثمانية تطبيقات Android جديدة.

فيما يلي قائمة التطبيقات المصابة:

  1. رسالة مساعدة
  2. Fast Magic SMS
  3. CamScanner مجاني
  4. رسالة خارقة
  5. ماسح ضوئي للعناصر
  6. اذهب الرسائل
  7. خلفيات السفر
  8. سوبر SMS

في حالة تنزيل أي من هذه التطبيقات واستخدامها ، يُقترح إلغاء تثبيتها لأن جهازك وخصوصيتك قد يكونان في خطر.

بالإضافة إلى ذلك ، فإن التطبيقات الأخرى التي تم اكتشاف أنها مصابة هي:

  • كل ماسح PDF جيد
  • رسالة مينت ليف - رسالتك الخاصة
  • لوحة مفاتيح فريدة - خطوط رائعة ورموز مجانية
  • قفل تطبيق Tangram
  • رسول مباشر
  • الرسائل القصيرة الخاصة
  • مترجم جملة واحد - مترجم متعدد الوظائف
  • ستايل كولاج للصور
  • الماسح الضوئي الدقيق
  • الرغبة في الترجمة
  • Talent Photo Editor - طمس التركيز
  • رسالة العناية
  • رسالة الجزء
  • ماسح ضوئي للورق
  • الماسح الأزرق
  • Hummingbird PDF Converter - صورة لقوات الدفاع الشعبي
  • منظف ​​قوي

(في وقت كتابة هذا التقرير ، تمت إزالة جميع هذه التطبيقات من متجر Google Play.)

الأعراض - البرامج الضارة جوكر

  • الجهاز يبطئ أكثر من المعتاد.
  • يتم تغيير إعدادات النظام بدون إذن المستخدمين.
  • تظهر تطبيقات غير معروفة مختلفة على جهاز Android الخاص بك.
  • زيادة استخدام البيانات والبطارية بشكل ملحوظ.
  • تعيد المتصفحات توجيهك إلى مواقع الويب المارقة.
  • شاهد العديد من الإعلانات المتطفلة التي لم تكن موجودة من قبل.

الضرر الناجم عن Joker Malware

  • يسرق المعلومات الشخصية عبر الرسائل القصيرة
  • انخفاض أداء الهاتف
  • البطارية تستنزف أسرع من المعتاد
  • انخفاض ملحوظ في سرعة الإنترنت
  • بيانات كبيرة وخسائر مالية

التكتيكات التي يستخدمها مؤلف البرامج الضارة لـ Joker لتجاوز أمان Google Play

تحميل مباشر

يتم تسليم الحمولة النهائية عبر عنوان URL مباشر يتم استلامه من خادم القيادة والتحكم (C&C). في هذا المتغير ، يحتوي تطبيق متجر Google Play المصاب على عنوان C&C مخفيًا في الكود نفسه مع تشويش السلسلة.

تنزيل على مرحلة واحدة

يحتوي تطبيق متجر Google Play المصاب على عنوان URL لحمولة stager المشفر في الرمز نفسه المشفر باستخدام Advanced Encryption Standard (AES).

تنزيل على مرحلتين

يقوم تطبيق Google Play المصاب بتنزيل حمولة المرحلة الأولى ، والتي تقوم بتنزيل حمولة المرحلة الثانية ، والتي تقوم أخيرًا بتحميل حمولة نهاية Joker.

IOCs

التطبيقات المصابة على GooglePlay:

MD5s اسم الحزمة
2086f0d40e611c25357e8906ebb10cd1 com.carefr friendly.message.chat
b8dea8e30c9f8dc5d81a5c205ef6547b com.docscannercamscanpaper
5a5756e394d751fae29fada67d498db3 com.focusphoto.talent.editor
8dca20f649f4326fb4449e99f7823a85 com.language.translate.desire.voicetranlate
6c34f9d6264e4c3ec2ef846d0badc9bd com.nightsapp.translate.sentence
04b22ab4921d01199c9a578d723dc6d6 com.password.quickly.applock
b488c44a30878b10f78d674fc98714b0 com.styles.simple.photocollage.photos
a6c412c2e266039f2d4a8096b7013f77 com.unique.input.style.my.keyboard
4c5461634ee23a4ca4884fc9f9ddb348 dirsms.welcome.android.dir.messenger
e4065f0f5e3a1be6a56140ed6ef73df7 pdf.converter.image.scanner.files
bfd2708725bd22ca748140961b5bfa2a message.standardsms.partmessenger
164322de2c46d4244341e250a3d44165 mintleaf.message.messenger.tosms.ml
88ed9afb4e532601729aab511c474e9a omg.documents.blue.pdfscanner
27e01dd651cf6d3362e28b7628fe65a4 pdf.maker.scan.image.phone.scanner
e7b8f388051a0172846d3b3f7a3abd64 prisms.texting.messenger.coolsms
0ab0eca13d1c17e045a649be27927864 com.gooders.pdfscanner.gp
bfbe04fd0dd4fa593bc3df65a831c1be com.powerful.phone.android.cleaner

عناوين URL لتوزيع الحمولة

blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS_ba[.]htm

blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_base[.]css

blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_config[.]json

nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/MeticulousScanner_bs[.]mp3

sahar[.]oss-us-east-1[.]aliyuncs[.]com/care[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence2[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/saiks[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram2[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/twinkle[.]asf

2j1i9uqw[.]oss-eu-central-1[.]aliyuncs[.]com/328718737/armeabi-v7a/ihuq[.]sky

blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html

blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS[.]json

fgcxweasqw[.]oss-eu-central-1[.]aliyuncs[.]com/fdcxqewsswq/dir[.]png

jk8681oy[.]oss-eu-central-1[.]aliyuncs[.]com/fsaxaweqwa/amly[.]art

n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/H20PDF29[.]txt

n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/font106[.]ttf

nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html

proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/m94[.]dir

proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/response[.]js

laodaoo[.]oss-ap-southeast-5.aliyuncs[.]com/allgood2[.]webp

laodaoo[.]oss-ap-southeast-5[.]aliyuncs[.]com/flower[.]webp

rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful[.]mov

rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful2[.]mov

rinimae[.]oss-ap-southeast-5[.]aliyuncs.com//intro[.]mov

النهائي C & C:

161[.]117[.]229[.]58

161[.]117[.]83[.]26

47[.]74[.]179[.]177

المصدر: https://www.zscaler.com/blogs/security-research/joker-playing-hide-and-seek-google-play

كيف تحافظ على سلامتك؟

  • إذا كان لديك أي مما سبق مثبتًا على هاتفك ، فنحن نقترح إلغاء تثبيته.
  • عند تثبيت الماسح الضوئي وورق الحائط وتطبيقات الرسائل ، تأكد من أنها من مصدر موثوق. لأن هذه هي أنواع التطبيقات التي تستهدفها Joker Malware.
  • قم بتثبيت تطبيق مكافحة البرامج الضارة على هاتفك وتأكد من فحص هاتفك الذكي بانتظام. يمكنك محاولة استخدام Systweak Anti Malware لهذا الغرض.
  • انتبه إلى الأذونات التي تمنحها. إذا كنت تعتقد أنها ليست مهمة لعمل التطبيق ، فتجنب منحها. اطرح دائمًا أسئلة مثل هل يحتاج هذا التطبيق إلى هذه الأذونات؟ كيف منح هذه الأذونات سيساعد؟
  • عندما تخطط لاستخدام تطبيق رسائل SMS ، اسأل هل تستخدم التطبيق؟ إذا كانت الإجابة بنعم ، فحاول استخدام Telegram والتطبيقات الأخرى المشفرة من طرف إلى طرف لأنها موثوقة وآمنة للاستخدام.
  • اقرأ التنبيهات لأنها تكشف عن الكثير من المعلومات. إذا لم تكن متأكدًا من أي إذن ، فقم بإلغاء تثبيت التطبيق تمامًا.

اقرأ أيضًا: One Stop Solution لحماية جهاز Android الخاص بك

Joker Malware - ابق آمنًا ومحميًا

تم تصميم Joker Malware لإصابة تطبيقات Android ، وهو ذكي ويتأكد من فشل Google في اكتشافه. هذا هو السبب في أنه حتى عندما يعرف Google ذلك ويستمر في إزالة التطبيقات المصابة ، فإنه يظهر مرة أخرى بتقنيات جديدة ويصيب المزيد من التطبيقات. الطريقة الوحيدة للبقاء محميًا هي أن تكون منتبهًا وحذرًا.

سيؤدي استخدام تطبيق مكافحة فيروسات مثل Systweak Anti Malware بالتأكيد إلى إضافة طبقة إضافية من الأمان ، ولكن عليك توخي الحذر بشأن الأذونات التي تمنحها.

برنامج Joker Malware ذكي وقد أصاب آلاف الضحايا. ومع ذلك ، باتباع النصائح كما هو موضح ، يمكنك البقاء محميًا.

نأمل أن تتبعهم وستحاول عدم الوقوع في براثن هذه البرامج الضارة المروعة. إذا وجدت المعلومات مفيدة ، فقم بمشاركتها مع الآخرين. في حال كان لديك أي شيء تضيفه ، شارك اقتراحاتك في مربع التعليقات.