조커 맬웨어가 돌아왔습니다 – 보호를 유지하기 위해 알아야 할 사항은 다음과 같습니다.

재미없는 조커가 돌아왔습니다. 여기서 우리는 당신의 얼굴에 미소를 가져다주는 조커를 말하는 것이 아닙니다. 대신 정보를 훔치는 악성 멀웨어에 대해 이야기하고 있습니다. 그리고 이번에 (Quick Heal Security Labs에 따르면) Google Play 스토어에서 8개의 새로운 앱을 감염시켰습니다. 2017년경 어딘가에서 발견된 Joker 악성코드는 40개의 Android 앱을 감염시키는 것으로 나타났습니다.

그러나 Joker 악성 코드는 무엇이며 어떻게 작동합니까? 보호를 받을 수 있는 방법이 있습니까? 그것에 대해 자세히 알아보려면 더 읽어보세요.

조커 악성코드란?

지난 3년 동안 Google Play 스토어 앱에서 발견된 Joker는 Android 기기를 대상으로 하는 잘 알려진 맬웨어 계열 중 하나에 속합니다. Google이 이 악성코드를 인지하지 못하거나 아무런 조치를 취하지 않는 것은 아닙니다. 그러나 멀웨어는 Google의 공식 애플리케이션 시장에 침투할 만큼 충분히 영리합니다. 응용 프로그램을 감염시키기 위해 트로이 목마 악성 코드는 코드, 실행 방법 또는 페이로드 검색 기술을 변경합니다.

이 스파이웨어의 주요 목적은 피해자를 자동으로 프리미엄 WAP(무선 응용 프로토콜) 서비스에 등록하고 연락처 목록, SMS 메시지 및 장치 정보를 훔치는 것입니다.

조커 맬웨어는 어떻게 작동합니까?

정보를 훔치고, 장치를 감염시키고, 사람들이 알지 못하고 동의 없이 프리미엄 구독에 가입하게 하기 위해 Joker Malware는 다른 응용 프로그램을 통해 장치에 침투한 다음 모든 작업을 조용히 수행합니다. 가장 중요한 것은 트로이 목마가 백그라운드에서 광고 웹사이트와 상호 작용하고 피해자를 프리미엄 서비스에 등록한다는 것입니다.

이러한 감염된 응용 프로그램이 시작되면 알림 액세스 권한이 요청되면 알림을 통해 알림 및 SMS 데이터를 받는 데 도움이 됩니다. 이후 조커 악성코드는 연락처 접근을 요청하고 전화통화 관리 권한을 요청한다. 요청된 모든 권한이 부여되면 트로이 목마 맬웨어는 사용자에게 악의적인 활동의 징후를 표시하지 않고 백그라운드에서 계속 작동합니다.

또한 읽기: FileRepMalware란 무엇입니까? 어떻게 제거할 수 있습니까?

조커가 위험한 이유는 무엇입니까?

배트맨 시리즈의 조커처럼 이 조커도 오싹하고 위험합니다.

피해자가 감염된 애플리케이션을 사용함에 따라 조커 악성코드는 전화기를 염탐하기 시작하여 정보를 훔쳐 원격으로 해커에게 전송합니다. Joker는 또한 SMS 문자 메시지, 연락처 목록을 복사하고 기밀 개인 정보를 공유하여 신원 도용, 사기 및 기타 해킹 활동을 수행하는 데 사용됩니다.

Joker의 가장 놀라운 점은 프리미엄 WAP(무선 응용 프로토콜) 서비스에 감염된 장치를 자동으로 등록할 수 있다는 것입니다. 이는 사용자에게 월별 비용이 많이 들 수 있습니다.

Joker Malware가 뉴스 헤드라인을 장식하는 이유는 무엇입니까?

최근 Quick Heal의 새로운 보고서에 따르면 스파이웨어가 8개의 새로운 Android 앱을 감염시키는 것으로 나타났습니다.

다음은 감염된 앱 목록입니다.

1. 보조 메시지
2. 빠른 매직 SMS
3. 무료 캠스캐너
4. 슈퍼 메시지
5. 요소 스캐너
6. 메시지 이동
7. 여행 배경 화면
8. 슈퍼 SMS

이러한 앱을 다운로드하여 사용하는 경우 장치 및 개인 정보가 위험할 수 있으므로 제거하는 것이 좋습니다.

이 외에도 감염된 것으로 확인된 다른 앱은 다음과 같습니다.

• 모든 좋은 PDF 스캐너
• 민트잎 메시지 - 당신의 개인적인 메시지
• 독특한 키보드 – 멋진 글꼴 및 무료 이모티콘
• 탱그램 앱 잠금
• 다이렉트 메신저
• 개인 SMS
• 한 문장 번역기 – 다기능 번역기
• 스타일 사진 콜라주
• 꼼꼼한 스캐너
• 욕망 번역
• Talent Photo Editor – 블러 포커스
• 케어 메시지
• 부품 메시지
• 종이 문서 스캐너
• 블루 스캐너
• 벌새 PDF 변환기 – 사진을 PDF로
• 강력한 클리너

(작성 당시 이 앱들은 모두 구글 플레이 스토어에서 삭제되었습니다.)

증상 – 조커 악성코드

• 기기가 평소보다 느려집니다.
• 시스템 설정은 사용자의 허가 없이 변경됩니다.
• Android 기기에 알 수 없는 다양한 애플리케이션이 나타납니다.
• 데이터 및 배터리 사용량이 크게 증가합니다.
• 브라우저는 악성 웹사이트로 리디렉션합니다.
• 이전에는 없었던 여러 방해 광고를 보십시오.

조커 악성코드로 인한 피해

• SMS를 통해 개인 정보를 도용
• 전화 성능 저하
• 배터리가 평소보다 빨리 소모됨
• 인터넷 속도의 현저한 감소
• 중요한 데이터 및 금전적 손실

조커 악성코드 작성자가 Google Play 보안을 우회하기 위해 사용하는 전술

직접 다운로드

최종 페이로드는 C&C(명령 및 제어) 서버에서 수신한 직접 URL을 통해 전달됩니다. 이 변종에서 감염된 Google Play 스토어 앱은 C&C 주소가 문자열 난독화로 코드 자체에 숨겨져 있습니다.

1단계 다운로드

감염된 Google Play 스토어 앱에는 AES(Advanced Encryption Standard)를 사용하여 암호화된 코드 자체에 인코딩된 스테이저 페이로드 URL이 있습니다.

2단계 다운로드

Google Play에 감염된 앱은 1단계 페이로드를 다운로드하고, 2단계 페이로드를 다운로드하고, 마지막으로 Joker 페이로드를 로드합니다.

IOC

GooglePlay의 감염된 앱:

페이로드 배포 URL

blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS_ba[.]htm

blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_base[.]css

blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_config[.]json

nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/MeticulousScanner_bs[.]mp3

sahar[.]oss-us-east-1[.]aliyuncs[.]com/care[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence2[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/saiks[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram2[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/twinkle[.]asf

2j1i9uqw[.]oss-eu-central-1[.]aliyuncs[.]com/328718737/armeabi-v7a/ihuq[.]sky

blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html

blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS[.]json

fgcxweasqw[.]oss-eu-central-1[.]aliyuncs[.]com/fdcxqewsswq/dir[.]png

jk8681oy[.]oss-eu-central-1[.]aliyuncs[.]com/fsaxaweqwa/amly[.]art

n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/H20PDF29[.]txt

n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/font106[.]ttf

nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html

proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/m94[.]dir

proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/response[.]js

laodaoo[.]oss-ap-southeast-5.aliyuncs[.]com/allgood2[.]webp

laodaoo[.]oss-ap-southeast-5[.]aliyuncs[.]com/flower[.]webp

rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful[.]mov

rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful2[.]mov

rinimae[.]oss-ap-southeast-5[.]aliyuncs.com//intro[.]mov

최종 C&C:

161[.]117[.]229[.]58

161[.]117[.]83[.]26

47[.]74[.]179[.]177

출처: https://www.zscaler.com/blogs/security-research/joker-playing-hide-and-seek-google-play

안전을 유지하는 방법?

• 휴대폰에 위의 항목이 설치되어 있는 경우 제거하는 것이 좋습니다.
• 스캐너, 월페이퍼, 메시지 응용 프로그램을 설치할 때 신뢰할 수 있는 출처인지 확인하십시오. 이것은 Joker Malware의 표적이 되는 애플리케이션 유형이기 때문입니다.
• 휴대전화에 맬웨어 방지 애플리케이션을 설치하고 정기적으로 스마트폰을 스캔하세요. 이를 위해 Systweak Anti Malware를 사용해 볼 수 있습니다.
• 부여하는 권한에 주의하십시오. 애플리케이션의 기능에 중요하지 않다고 생각되는 경우 부여하지 마십시오. 항상 이 앱에 이러한 권한이 필요합니까?와 같은 질문을 하십시오. 이러한 권한을 부여하면 어떤 도움이 될까요?
• SMS 메시지 앱을 사용할 계획이라면 앱을 사용합니까? 그렇다면 Telegram 및 기타 종단 간 암호화 앱을 사용해보십시오. 신뢰할 수 있고 안전하게 사용할 수 있습니다.
• 많은 정보를 드러내는 경고를 읽으십시오. 권한이 확실하지 않은 경우 앱을 완전히 제거하십시오.

더 읽어보기: Android 기기를 보호하기 위한 원스톱 솔루션

조커 맬웨어 – 안전하게 보호

Android 앱을 감염시키도록 설계된 Joker Malware는 지능적이며 Google이 이를 감지하지 못하도록 합니다. 그렇기 때문에 Google에서 이를 알고 감염된 앱을 계속 제거하더라도 새로운 기술로 다시 나타나 더 많은 앱을 감염시킵니다. 보호를 유지하는 유일한 방법은 주의를 기울이고 조심하는 것입니다.

Systweak Anti Malware와 같은 바이러스 백신 앱을 사용하면 확실히 보안 계층이 추가되지만 부여한 권한에 주의해야 합니다.

Joker Malware는 영리하며 수천 명의 희생자를 감염시켰습니다. 그러나 설명된 팁을 따르면 보호 상태를 유지할 수 있습니다.

우리는 당신이 그것들을 따르고 이 무서운 맬웨어의 손아귀에 빠지지 않도록 노력하기를 바랍니다. 정보가 도움이 되었다면 다른 사람들과 공유하십시오. 추가할 사항이 있는 경우 의견 상자에 제안 사항을 공유하십시오.