Joker Malware กลับมาแล้ว – นี่คือสิ่งที่คุณต้องรู้เพื่อให้ได้รับการปกป้อง
เผยแพร่แล้ว: 2021-06-28โจ๊กเกอร์ตัวตลกกลับมาแล้ว ในที่นี้ เราไม่ได้หมายถึงโจ๊กเกอร์ที่ทำให้คุณยิ้มได้ เรากำลังพูดถึงมัลแวร์ที่น่ารังเกียจที่ขโมยข้อมูลของคุณแทน และในครั้งนี้ (จากข้อมูลของ Quick Heal Security Labs) ได้แพร่ระบาดไปยังแอปใหม่แปดแอปใน Google Play Store พบที่ไหนสักแห่งในปี 2560 มัลแวร์ Joker ตรวจพบแอพ Android มากถึง 40 แอพ
แต่มัลแวร์ Joker คืออะไรและทำงานอย่างไร มีวิธีป้องกันหรือไม่? หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับเรื่องนี้ อ่านเพิ่มเติม
Joker Malware คืออะไร?
Joker ถูกพบในแอพ Google Play Store ในช่วงสามปีที่ผ่านมา เป็นหนึ่งในตระกูลมัลแวร์ที่รู้จักกันดีซึ่งกำหนดเป้าหมายไปยังอุปกรณ์ Android ไม่ใช่ว่า Google ไม่ทราบถึงมัลแวร์นี้ หรือไม่ได้ดำเนินการใดๆ ทว่ามัลแวร์นั้นฉลาดพอที่จะเข้าสู่ตลาดแอปพลิเคชันอย่างเป็นทางการของ Google ในการแพร่ระบาดในแอปพลิเคชั่น มัลแวร์โทรจันจะเปลี่ยนรหัส วิธีดำเนินการ หรือเทคนิคการดึงข้อมูลเพย์โหลด
จุดประสงค์หลักของสปายแวร์นี้คือเพื่อลงทะเบียนเหยื่อสำหรับบริการแอปพลิเคชันไร้สายระดับพรีเมียม (WAP) อย่างเงียบๆ ขโมยรายชื่อผู้ติดต่อ ข้อความ SMS และข้อมูลอุปกรณ์
Joker Malware ทำงานอย่างไร?
ในการขโมยข้อมูล แพร่ระบาดในอุปกรณ์ และทำให้ผู้คนสมัครเป็นสมาชิกแบบพรีเมียมโดยปราศจากความรู้และความยินยอม Joker Malware เข้าไปในอุปกรณ์ผ่านแอปพลิเคชันต่างๆ แล้วทำงานทั้งหมดอย่างเงียบๆ ที่สำคัญที่สุด โทรจันโต้ตอบกับเว็บไซต์โฆษณาในเบื้องหลังและสมัครรับบริการระดับพรีเมียมจากเหยื่อ
เมื่อมีการขออนุญาตเปิดแอปพลิเคชันที่ติดไวรัสเหล่านี้สำหรับการเข้าถึงการแจ้งเตือน การดำเนินการนี้จะช่วยรับการแจ้งเตือนและข้อมูล SMS ผ่านการแจ้งเตือน หลังจากนั้น Joker Malware ขอการเข้าถึงผู้ติดต่อตามด้วยการอนุญาตการจัดการการโทร เมื่อได้รับสิทธิ์ที่ร้องขอทั้งหมด มัลแวร์โทรจันจะยังคงทำงานในพื้นหลังโดยไม่แสดงสัญญาณของกิจกรรมที่เป็นอันตรายต่อผู้ใช้
อ่านเพิ่มเติม: FileRepMalware คืออะไร? คุณจะกำจัดมันได้อย่างไร?
อะไรทำให้โจ๊กเกอร์เป็นอันตรายมาก?
เช่นเดียวกับโจ๊กเกอร์ในซีรีส์แบทแมน โจ๊กเกอร์ตัวนี้ก็น่าขนลุกและอันตรายเช่นกัน
เนื่องจากเหยื่อใช้แอปพลิเคชันที่ติดไวรัส มัลแวร์ Joker จึงเริ่มสอดแนมทางโทรศัพท์ ขโมยข้อมูล และส่งไปยังแฮกเกอร์จากระยะไกล Joker ยังคัดลอกข้อความ SMS รายชื่อผู้ติดต่อ และแบ่งปันข้อมูลส่วนตัวที่เป็นความลับ ซึ่งจากนั้นใช้เพื่อดำเนินการขโมยข้อมูลประจำตัว การฉ้อโกง และกิจกรรมการแฮ็กอื่น ๆ
สิ่งที่น่าตกใจที่สุดเกี่ยวกับ Joker คือสามารถลงทะเบียนอุปกรณ์ที่ติดไวรัสโดยอัตโนมัติสำหรับบริการ Premium Wireless Application Protocol (WAP) ซึ่งอาจมีค่าใช้จ่ายเป็นจำนวนมากสำหรับผู้ใช้ต่อเดือน
เหตุใด Joker Malware จึงพาดหัวข่าว?
เมื่อเร็ว ๆ นี้ตามรายงานใหม่จาก Quick Heal สปายแวร์พบว่าติด แอพ Android ใหม่แปดตัว
ต่อไปนี้เป็นรายการแอพที่ติดไวรัส:
- ข้อความเสริม
- Fast Magic SMS
- ฟรี CamScanner
- สุดยอดข้อความ
- เครื่องสแกนองค์ประกอบ
- ไปข้อความ
- วอลเปเปอร์ท่องเที่ยว
- สุดยอด SMS
ในกรณีที่คุณดาวน์โหลดและใช้แอพใด ๆ เหล่านี้ แนะนำให้ถอนการติดตั้งเนื่องจากอุปกรณ์และความเป็นส่วนตัวของคุณอาจมีความเสี่ยง
นอกจากนี้ แอปอื่นๆ ที่พบว่ามีการติดไวรัส ได้แก่:
- เครื่องสแกน PDF ที่ดีทั้งหมด
- Mint Leaf Message-ข้อความส่วนตัวของคุณ
- แป้นพิมพ์ที่ไม่ซ้ำใคร - แบบอักษรแฟนซีและอีโมติคอนฟรี
- ล็อคแอพ Tangram
- ผู้ส่งสารโดยตรง
- SMS ส่วนตัว
- นักแปลประโยคเดียว – นักแปลมัลติฟังก์ชั่น
- ภาพตัดปะภาพสไตล์
- สแกนเนอร์อย่างพิถีพิถัน
- ความปรารถนาแปล
- แก้ไขรูปถ่ายความสามารถ - โฟกัสเบลอ
- ข้อความดูแล
- ข้อความส่วนหนึ่ง
- เครื่องสแกนเอกสารกระดาษ
- เครื่องสแกนสีน้ำเงิน
- Hummingbird PDF Converter – รูปภาพเป็น PDF
- น้ำยาทำความสะอาดที่ทรงพลัง
(ในขณะที่เขียน แอปเหล่านี้ทั้งหมดถูกลบออกจาก Google Play Store แล้ว)
อาการ – มัลแวร์โจ๊กเกอร์
- เครื่องทำงานช้ากว่าปกติ
- การตั้งค่าระบบมีการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตจากผู้ใช้
- แอปพลิเคชันที่ไม่รู้จักต่างๆ ปรากฏขึ้นบนอุปกรณ์ Android ของคุณ
- การใช้ข้อมูลและแบตเตอรี่เพิ่มขึ้นอย่างมาก
- เบราว์เซอร์เปลี่ยนเส้นทางคุณไปยังเว็บไซต์หลอกลวง
- ดูโฆษณาที่ล่วงล้ำหลายรายการที่ไม่เคยมีมาก่อน
ความเสียหายที่เกิดจากมัลแวร์ Joker
- ขโมยข้อมูลส่วนบุคคลทาง SMS
- ประสิทธิภาพโทรศัพท์ลดลง
- แบตเตอรี่หมดเร็วกว่าปกติ
- ความเร็วเน็ตลดลงอย่างเห็นได้ชัด
- ข้อมูลสำคัญ & การสูญเสียทางการเงิน
กลยุทธ์ที่ผู้เขียนมัลแวร์ Joker ใช้เพื่อหลีกเลี่ยงความปลอดภัยของ Google Play
ดาวน์โหลดโดยตรง
เพย์โหลดสุดท้ายถูกส่งผ่าน URL โดยตรงที่ได้รับจากเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) ในเวอร์ชันนี้ แอป Google Play Store ที่ติดไวรัสจะมีที่อยู่ C&C ที่ซ่อนอยู่ในโค้ดด้วยสตริงที่สับสน
ดาวน์โหลดแบบขั้นตอนเดียว
แอป Google Play สโตร์ที่ติดไวรัสมี URL เพย์โหลดของ stager ที่เข้ารหัสในโค้ดที่เข้ารหัสด้วยตัวมันเองโดยใช้ Advanced Encryption Standard (AES)
ดาวน์โหลดสองขั้นตอน
แอปที่ติดไวรัสของ Google Play จะดาวน์โหลดเพย์โหลดสเตจหนึ่ง ซึ่งจะดาวน์โหลดเพย์โหลดสเตจสอง ซึ่งในที่สุดก็โหลดเพย์โหลด Joker ขั้นสุดท้าย
IOCs
แอปที่ติดไวรัสบน GooglePlay:
| MD5s | ชื่อแพ็คเกจ |
|---|---|
| 2086f0d40e611c25357e8906ebb10cd1 | com.carefrendly.message.chat |
| b8dea8e30c9f8dc5d81a5c205ef6547b | com.docscannercamscanpaper |
| 5a5756e394d751fae29fada67d498db3 | com.focusphoto.talent.editor |
| 8dca20f649f4326fb4449e99f7823a85 | com.language.translate.desire.voicetranlate |
| 6c34f9d6264e4c3ec2ef846d0badc9bd | com.nightsapp.translate.sentence |
| 04b22ab4921d01199c9a578d723dc6d6 | com.password.quickly.applock |
| b488c44a30878b10f78d674fc98714b0 | com.styles.simple.photocollage.photos |
| a6c412c2e266039f2d4a8096b7013f77 | com.unique.input.style.my.keyboard |
| 4c5461634ee23a4ca4884fc9f9ddb348 | dirsms.welcome.android.dir.messenger |
| e4065f0f5e3a1be6a56140ed6ef73df7 | pdf.converter.image.scanner.files |
| bfd2708725bd22ca748140961b5bfa2a | message.standardsms.partmessenger |
| 164322de2c46d4244341e250a3d44165 | mintleaf.message.messenger.tosms.ml |
| 88ed9afb4e532601729aab511c474e9a | omg.documents.blue.pdfscanner |
| 27e01dd651cf6d3362e28b7628fe65a4 | pdf.maker.scan.image.phone.scanner |
| e7b8f388051a0172846d3b3f7a3abd64 | prisms.texting.messenger.coolsms |
| 0ab0eca13d1c17e045a649be27927864 | com.gooders.pdfscanner.gp |
| bfbe04fd0dd4fa593bc3df65a831c1be | com.powerful.phone.android.cleaner |
URL ของการกระจายเพย์โหลด
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS_ba[.]htm
blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_base[.]css
blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_config[.]json
nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/MeticulousScanner_bs[.]mp3
sahar[.]oss-us-east-1[.]aliyuncs[.]com/care[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence2[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/saiks[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram2[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/twinkle[.]asf
2j1i9uqw[.]oss-eu-central-1[.]aliyuncs[.]com/328718737/armeabi-v7a/ihuq[.]sky
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS[.]json
fgcxweasqw[.]oss-eu-central-1[.]aliyuncs[.]com/fdcxqewsswq/dir[.]png
jk8681oy[.]oss-eu-central-1[.]aliyuncs[.]com/fsaxaweqwa/amly[.]art
n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/H20PDF29[.]txt
n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/font106[.]ttf
nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html
proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/m94[.]dir
proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/response[.]js
laodaoo[.]oss-ap-southeast-5.aliyuncs[.]com/allgood2[.]webp
laodaoo[.]oss-ap-southeast-5[.]aliyuncs[.]com/flower[.]webp
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful[.]mov
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful2[.]mov
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com//intro[.]mov
C&C สุดท้าย:
161[.]117[.]229[.]58
161[.]117[.]83[.]26
47[.]74[.]179[.]177
ที่มา: https://www.zscaler.com/blogs/security-research/joker-playing-hide-and-seek-google-play
จะอยู่อย่างปลอดภัยได้อย่างไร?
- หากคุณมีข้อใดข้อหนึ่งติดตั้งอยู่บนโทรศัพท์ของคุณ เราขอแนะนำให้คุณถอนการติดตั้ง
- เมื่อติดตั้งสแกนเนอร์ วอลเปเปอร์ แอปพลิเคชันข้อความ ตรวจสอบให้แน่ใจว่ามาจากแหล่งที่เชื่อถือได้ เนื่องจากเป็นประเภทของแอปพลิเคชันที่ Joker Malware กำหนดเป้าหมาย
- ติดตั้งแอปพลิเคชันป้องกันมัลแวร์บนโทรศัพท์ของคุณและตรวจดูให้แน่ใจว่าคุณสแกนสมาร์ทโฟนเป็นประจำ คุณสามารถลองใช้ Systweak Anti Malware เพื่อจุดประสงค์นี้ได้
- ใส่ใจกับการอนุญาตที่คุณให้ หากคุณคิดว่าไม่สำคัญสำหรับการทำงานของแอปพลิเคชัน ให้หลีกเลี่ยงการอนุญาต ถามคำถามเสมอว่าแอปนี้ต้องการการอนุญาตเหล่านี้หรือไม่ การอนุญาตเหล่านี้จะช่วยได้อย่างไร?
- เมื่อคุณวางแผนที่จะใช้แอปส่งข้อความ SMS ให้ถามว่าคุณใช้แอปนี้หรือไม่ ถ้าใช่ ให้ลองใช้ Telegram และแอปเข้ารหัสแบบ end-to-end อื่นๆ ที่มีความน่าเชื่อถือและปลอดภัยในการใช้งาน
- อ่านการแจ้งเตือนเมื่อเปิดเผยข้อมูลมากมาย หากคุณไม่แน่ใจเกี่ยวกับการอนุญาตใด ๆ ให้ถอนการติดตั้งแอพทั้งหมด
อ่านเพิ่มเติม: One Stop Solution เพื่อปกป้องอุปกรณ์ Android ของคุณ
Joker Malware – อยู่อย่างปลอดภัยและได้รับการปกป้อง
Joker Malware ออกแบบมาให้ติดแอป Android ได้อย่างชาญฉลาด และทำให้แน่ใจว่า Google ตรวจไม่พบ นี่คือเหตุผลที่แม้ว่า Google จะรู้เกี่ยวกับเรื่องนี้และยังคงลบแอปที่ติดไวรัสออกอยู่เรื่อยๆ แอปนั้นก็ปรากฏขึ้นอีกครั้งด้วยเทคนิคใหม่ๆ และทำให้แอปติดไวรัสมากขึ้น วิธีเดียวที่จะป้องกันได้คือต้องใส่ใจและระมัดระวัง
การใช้แอพแอนตี้ไวรัสอย่าง Systweak Anti Malware จะเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งอย่างแน่นอน แต่คุณต้องระวังการอนุญาตที่คุณให้ไว้
Joker Malware เป็นมัลแวร์ที่ฉลาดและมีผู้ติดเชื้อหลายพันคน อย่างไรก็ตาม โดยการปฏิบัติตามคำแนะนำตามที่อธิบายไว้ คุณจะได้รับการปกป้องอยู่เสมอ
เราหวังว่าคุณจะติดตามพวกเขาและจะไม่พยายามเข้าไปอยู่ในเงื้อมมือของมัลแวร์ที่น่ากลัวนี้ หากคุณพบว่าข้อมูลมีประโยชน์ โปรดแชร์กับผู้อื่น ในกรณีที่คุณมีอะไรเพิ่มเติมแบ่งปันข้อเสนอแนะของคุณในช่องแสดงความคิดเห็น