Malware Joker a revenit – Iată ce trebuie să știți pentru a rămâne protejat
Publicat: 2021-06-28Nefastul Joker s-a întors. Aici, nu ne referim la Joker care îți aduce zâmbetul pe buze. În schimb, vorbim despre malware-ul urât care vă fură informațiile. Și de data aceasta, (conform Quick Heal Security Labs) a infectat opt aplicații noi pe Google Play Store. Descoperit undeva în jurul anului 2017, programul malware Joker a fost găsit infectând până la 40 de aplicații Android.
Dar ce este malware Joker și cum funcționează? Există vreo modalitate de a rămâne protejat? Pentru a afla mai multe despre el, citiți în continuare.
Ce este Joker Malware?
Descoperit în aplicațiile Magazinului Google Play în ultimii trei ani, Joker aparține uneia dintre binecunoscutele familii de malware care vizează dispozitivele Android. Nu înseamnă că Google nu ar fi conștient de acest malware sau că nu întreprinde nicio acțiune. Totuși, malware-ul este suficient de inteligent pentru a-și face loc pe piața oficială a aplicațiilor Google. Pentru a infecta aplicațiile, malware-ul troian își modifică codul, metodele de execuție sau tehnicile de recuperare a sarcinii utile.
Scopul principal al acestui program spyware este de a înscrie victimele în tăcere pentru servicii premium de protocol de aplicație wireless (WAP), de a fura liste de contacte, mesaje SMS și informații despre dispozitiv.
Cum funcționează Joker Malware?
Pentru a fura informații, a infecta dispozitivul și pentru a-i face pe oameni să se aboneze la abonamente premium fără știre și consimțământ, Joker Malware intră în dispozitiv prin intermediul diferitelor aplicații și apoi îndeplinește în tăcere toate sarcinile. Cel mai important, troianul interacționează cu site-uri web de reclame în fundal și abonează victima la servicii premium.
Când aceste aplicații infectate sunt lansate, se solicită permisiunea de acces la notificări, acest lucru ajută la obținerea notificărilor și a datelor SMS prin notificare. Ulterior, Joker Malware solicită acces la Contacte, urmat de permisiunea de gestionare a apelurilor telefonice. Odată ce toate permisiunile solicitate sunt acordate, malware-ul troian continuă să funcționeze în fundal fără a prezenta niciun semn de activitate rău intenționată pentru utilizator.
Citește și: Ce este FileRepMalware? Cum poți scăpa de ea?
Ce îl face pe Joker atât de periculos?
La fel ca Jokerul din seria Batman, acest Joker este, de asemenea, înfiorător și periculos.
Pe măsură ce aplicația infectată este folosită de victimă, malware-ul Joker începe să spioneze telefonul, fură informații și le trimite hackerilor de la distanță. Joker copiază, de asemenea, mesaje text SMS, liste de contacte și partajează informații private confidențiale care sunt apoi folosite pentru a desfășura furt de identitate, fraudă și alte activități de hacking.
Cel mai alarmant lucru despre Joker este că este capabil să înregistreze automat dispozitivele infectate pentru servicii premium de protocol de aplicație wireless (WAP). Acest lucru poate costa foarte mult pentru utilizatori pe lună.
De ce Joker Malware face titlurile de știri?
În ultimul timp, conform unui nou raport de la Quick Heal, s-a descoperit că programul spyware infectează opt noi aplicații Android.
Mai jos este lista aplicațiilor infectate:
- Mesaj auxiliar
- SMS Magic rapid
- CamScanner gratuit
- Super Mesaj
- Element Scanner
- Go Messages
- Imagini de fundal de călătorie
- Super SMS
În cazul în care ați descărcat și utilizați oricare dintre aceste aplicații, se recomandă dezinstalarea acestora, deoarece dispozitivul dvs. și confidențialitatea ar putea fi în pericol.
Pe lângă aceasta, alte aplicații care s-au dovedit a fi infectate sunt:
- Toate scanerele PDF bune
- Mesaj Mint Leaf-Mesajul tău privat
- Tastatură unică – Fonturi de lux și emoticoane gratuite
- Blocare aplicație Tangram
- Direct Messenger
- SMS privat
- One Sentence Translator – Traducător multifuncțional
- Colaj foto de stil
- Scaner meticulos
- Desire Translate
- Talent Photo Editor – Focalizare estompată
- Mesaj de îngrijire
- Mesaj de parte
- Paper Doc Scanner
- Scanner albastru
- Hummingbird PDF Converter – Fotografie în PDF
- Curatator puternic
(La momentul scrierii, toate aceste aplicații au fost eliminate din magazinul Google Play.)
Simptome – Joker Malware
- Dispozitivul încetinește mai mult decât în mod normal.
- Setările de sistem sunt modificate fără permisiunea utilizatorilor.
- Pe dispozitivul dvs. Android apar diferite aplicații necunoscute.
- Utilizarea datelor și a bateriei crește semnificativ.
- Browserele vă redirecționează către site-uri web necinstite.
- Vedeți mai multe reclame intruzive care nu existau mai devreme.
Daune cauzate de Joker Malware
- Fură informații personale prin SMS
- Scăderea performanței telefonului
- Bateria se descarcă mai repede decât de obicei
- O scădere vizibilă a vitezei internetului
- Date semnificative și pierderi monetare
Tactici folosite de autorul malware Joker pentru a ocoli securitatea Google Play
Descarcare directa
Sarcina utilă finală este livrată printr-un URL direct primit de la serverul de comandă și control (C&C). În această variantă, aplicația infectată din magazinul Google Play are adresa C&C ascunsă în codul propriu-zis, cu ofuscarea șirurilor.
Descărcare într-o singură etapă
Aplicația infectată din magazinul Google Play are URL-ul de încărcare utilă a stader codificat în codul însuși, criptat folosind standardul de criptare avansat (AES).
Descărcare în două etape
Aplicația infectată Google Play descarcă încărcătura utilă din prima etapă, care descarcă încărcarea utilă din etapa a doua, care în cele din urmă încarcă încărcarea utilă Joker finală.
IOC-uri
Aplicații infectate pe GooglePlay:
| MD5-uri | Numele pachetului |
|---|---|
| 2086f0d40e611c25357e8906ebb10cd1 | com.carefrendly.message.chat |
| b8dea8e30c9f8dc5d81a5c205ef6547b | com.docscannercamscanpaper |
| 5a5756e394d751fae29fada67d498db3 | com.focusphoto.talent.editor |
| 8dca20f649f4326fb4449e99f7823a85 | com.language.translate.desire.voicetranlate |
| 6c34f9d6264e4c3ec2ef846d0badc9bd | com.nightsapp.traducere.propoziție |
| 04b22ab4921d01199c9a578d723dc6d6 | com.parola.rapid.applock |
| b488c44a30878b10f78d674fc98714b0 | com.styles.simple.photocollage.photos |
| a6c412c2e266039f2d4a8096b7013f77 | com.unic.input.style.my.keyboard |
| 4c5461634ee23a4ca4884fc9f9ddb348 | dirsms.welcome.android.dir.messenger |
| e4065f0f5e3a1be6a56140ed6ef73df7 | pdf.converter.image.scanner.fișiere |
| bfd2708725bd22ca748140961b5bfa2a | mesaj.standardsms.partmessenger |
| 164322de2c46d4244341e250a3d44165 | mintleaf.message.messenger.tosms.ml |
| 88ed9afb4e532601729aab511c474e9a | omg.documents.blue.pdfscanner |
| 27e01dd651cf6d3362e28b7628fe65a4 | pdf.maker.scan.imagine.phone.scanner |
| e7b8f388051a0172846d3b3f7a3abd64 | prisme.texting.messenger.coolsms |
| 0ab0eca13d1c17e045a649be27927864 | com.gooders.pdfscanner.gp |
| bfbe04fd0dd4fa593bc3df65a831c1be | com.puternic.phone.android.cleaner |
URL-uri de distribuție a încărcăturii utile
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS_ba[.]htm
blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_base[.]css
blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_config[.]json
nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/MeticulousScanner_bs[.]mp3
sahar[.]oss-us-east-1[.]aliyuncs[.]com/care[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence2[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/saiks[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram2[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/twinkle[.]asf
2j1i9uqw[.]oss-eu-central-1[.]aliyuncs[.]com/328718737/armeabi-v7a/ihuq[.]sky
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS[.]json
fgcxweasqw[.]oss-eu-central-1[.]aliyuncs[.]com/fdcxqewsswq/dir[.]png
jk8681oy[.]oss-eu-central-1[.]aliyuncs[.]com/fsaxaweqwa/amly[.]art
n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/H20PDF29[.]txt
n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/font106[.]ttf
nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html
proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/m94[.]dir
proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/response[.]js
laodaoo[.]oss-ap-southeast-5.aliyuncs[.]com/allgood2[.]webp
laodaoo[.]oss-ap-southeast-5[.]aliyuncs[.]com/flower[.]webp
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful[.]mov
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful2[.]mov
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com//intro[.]mov
C&C finale:
161[.]117[.]229[.]58
161[.]117[.]83[.]26
47[.]74[.]179[.]177
Sursa: https://www.zscaler.com/blogs/security-research/joker-playing-hide-and-seek-google-play
Cum să fii în siguranță?
- Dacă aveți oricare dintre cele de mai sus instalate pe telefon, vă sugerăm să le dezinstalați.
- Când instalați scaner, tapet, aplicații de mesaje, asigurați-vă că acestea provin dintr-o sursă de încredere. Deoarece acestea sunt tipurile de aplicații vizate de Joker Malware.
- Instalați o aplicație antimalware pe telefon și asigurați-vă că vă scanați regulat smartphone-ul. Puteți încerca să utilizați Systweak Anti Malware în acest scop.
- Fiți atenți la permisiunile pe care le acordați. Dacă considerați că nu sunt importante pentru funcționarea aplicației, evitați să le acordați. Pune întotdeauna întrebări precum Are această aplicație nevoie de aceste permisiuni? Cum va ajuta acordarea acestor permisiuni?
- Când intenționați să utilizați o aplicație de mesagerie SMS, întrebați dacă utilizați aplicația? Dacă da, încercați să utilizați Telegram și alte aplicații criptate end-to-end, deoarece sunt fiabile și sigure de utilizat.
- Citiți alertele, deoarece dezvăluie o mulțime de informații. Dacă nu sunteți sigur de vreo permisiune, dezinstalați aplicația în întregime.
Citiți și: Soluție unică pentru a vă proteja dispozitivul Android
Joker Malware – Rămâi în siguranță și protejat
Conceput pentru a infecta aplicațiile Android, Joker Malware este inteligent și se asigură că Google nu îl detectează. Acesta este motivul pentru care, chiar și atunci când Google știe despre asta și continuă să elimine aplicațiile infectate, reapare cu noi tehnici și infectează mai multe aplicații. Singura modalitate de a rămâne protejat este să fii atent și precaut.
Folosirea unei aplicații antivirus precum Systweak Anti Malware va adăuga cu siguranță un nivel suplimentar de securitate, dar trebuie să fiți atenți la permisiunile pe care le acordați.
Joker Malware este inteligent și a infectat mii de victime. Cu toate acestea, urmând sfaturile explicate, puteți rămâne protejat.
Sperăm că le veți urma și veți încerca să nu intrați în ghearele acestui malware îngrozitor. Dacă găsiți informațiile utile, împărtășiți-le altora. În cazul în care aveți ceva de adăugat, împărtășiți sugestiile dvs. în caseta de comentarii.