小丑恶意软件又回来了——这是你需要知道的以保持保护
已发表: 2021-06-28无趣的小丑又回来了。 在这里,我们不是指给你带来微笑的小丑。 相反,我们谈论的是窃取您信息的恶意恶意软件。 而这一次,(根据 Quick Heal Security Labs 的说法)它已经感染了 Google Play 商店中的 8 个新应用程序。 Joker 恶意软件于 2017 年左右被发现,已被发现感染了多达 40 个 Android 应用程序。
但是什么是 Joker 恶意软件,它是如何工作的? 有没有办法保持保护? 要了解有关它的更多信息,请进一步阅读。
什么是小丑恶意软件?
在过去三年中,Joker 出现在 Google Play Store 应用程序中,属于以 Android 设备为目标的著名恶意软件家族之一。 并不是说 Google 不知道这种恶意软件,或者没有采取任何行动。 然而,该恶意软件足够聪明,可以进入谷歌的官方应用市场。 为了感染应用程序,木马恶意软件会更改其代码、执行方法或有效负载检索技术。
该间谍软件的主要目的是让受害者静默注册高级无线应用协议 (WAP) 服务,窃取联系人列表、SMS 消息和设备信息。
小丑恶意软件如何工作?
为了窃取信息、感染设备并让人们在不知情和不同意的情况下订阅高级订阅,Joker Malware 通过不同的应用程序进入设备,然后默默地执行所有任务。 最重要的是,该木马在后台与广告网站交互,并为受害者订阅高级服务。
当这些受感染的应用程序启动时,系统会询问通知访问权限,这有助于通过通知获取通知和 SMS 数据。 之后,Joker Malware 要求提供联系人访问权限,然后是电话呼叫管理权限。 一旦授予了所有请求的权限,木马恶意软件就会继续在后台运行,而不会向用户显示任何恶意活动的迹象。
另请阅读:什么是 FileRepMalware? 你怎么能摆脱它?
是什么让小丑如此危险?
就像蝙蝠侠系列中的小丑一样,这个小丑也是令人毛骨悚然和危险的。
当受害者使用受感染的应用程序时,Joker 恶意软件开始监视手机,窃取信息并将其远程发送给黑客。 Joker 还复制 SMS 文本消息、联系人列表并共享机密的私人信息,这些信息随后被用于进行身份盗窃、欺诈和其他黑客活动。
Joker 最令人担忧的是,它能够自动为受感染的设备注册高级无线应用协议 (WAP) 服务。 这可能会使用户每月花费很多。
为什么小丑恶意软件成为新闻头条?
最近,根据 Quick Heal 的一份新报告,该间谍软件被发现感染了八款新的 Android 应用程序。
以下是受感染的应用程序列表:
- 辅助信息
- 快速魔术短信
- 免费的扫描仪
- 超级讯息
- 元素扫描仪
- 去消息
- 旅行壁纸
- 超级短信
如果您已下载并正在使用这些应用程序中的任何一个,建议您卸载它们,因为您的设备和隐私可能会受到威胁。
除此之外,其他被发现被感染的应用还有:
- 所有好的PDF扫描仪
- 薄荷叶消息-您的私人消息
- 独特的键盘 - 花式字体和免费表情符号
- 七巧板应用锁
- 直接信使
- 私人短信
- 一句话翻译器 - 多功能翻译器
- 风格照片拼贴
- 细致的扫描仪
- 愿望翻译
- 人才照片编辑器 - 模糊焦点
- 关怀讯息
- 部分留言
- 纸质文件扫描仪
- 蓝色扫描仪
- 蜂鸟 PDF 转换器 - 照片到 PDF
- 强力清洁剂
(在撰写本文时,所有这些应用程序都已从 Google Play 商店中删除。)
症状 – 小丑恶意软件
- 设备的速度比正常速度慢。
- 未经用户许可更改系统设置。
- 您的 Android 设备上会出现不同的未知应用程序。
- 数据和电池使用量显着增加。
- 浏览器会将您重定向到流氓网站。
- 查看几个之前没有的侵入性广告。
Joker 恶意软件造成的损害
- 通过短信窃取个人信息
- 手机性能下降
- 电池耗电比平时快
- 网速明显下降
- 重大数据和金钱损失
Joker 恶意软件作者用来绕过 Google Play 安全性的策略
直接下载
最终有效载荷通过从命令和控制 (C&C) 服务器接收的直接 URL 传递。 在此变体中,受感染的 Google Play 商店应用程序将 C&C 地址隐藏在代码本身中,并使用字符串混淆。
一级下载
受感染的 Google Play 商店应用程序的 stager 有效负载 URL 编码在使用高级加密标准 (AES) 加密的代码中。
两阶段下载
受 Google Play 感染的应用程序会下载第一阶段的有效负载,该有效负载会下载第二阶段的有效负载,最终会加载最终的 Joker 有效负载。
国际奥委会
GooglePlay 上受感染的应用程序:
| MD5s | 包裹名字 |
|---|---|
| 2086f0d40e611c25357e8906ebb10cd1 | com.carefrendly.message.chat |
| b8dea8e30c9f8dc5d81a5c205ef6547b | com.docscannercamscanpaper |
| 5a5756e394d751fae29fada67d498db3 | com.focusphoto.talent.editor |
| 8dca20f649f4326fb4449e99f7823a85 | com.language.translate.desire.voicetranlate |
| 6c34f9d6264e4c3ec2ef846d0badc9bd | com.nightsapp.translate.sentence |
| 04b22ab4921d01199c9a578d723dc6d6 | com.password.quickly.applock |
| b488c44a30878b10f78d674fc98714b0 | com.styles.simple.photocollage.photos |
| a6c412c2e266039f2d4a8096b7013f77 | com.unique.input.style.my.keyboard |
| 4c5461634ee23a4ca4884fc9f9ddb348 | dirsms.welcome.android.dir.messenger |
| e4065f0f5e3a1be6a56140ed6ef73df7 | pdf.converter.image.scanner.files |
| bfd2708725bd22ca748140961b5bfa2a | message.standardsms.partmessenger |
| 164322de2c46d4244341e250a3d44165 | mintleaf.message.messenger.tosms.ml |
| 88ed9afb4e532601729aab511c474e9a | omg.documents.blue.pdfscanner |
| 27e01dd651cf6d3362e28b7628fe65a4 | pdf.maker.scan.image.phone.scanner |
| e7b8f388051a0172846d3b3f7a3abd64 | prisms.texting.messenger.coolsms |
| 0ab0eca13d1c17e045a649be27927864 | com.gooders.pdfscanner.gp |
| bfbe04fd0dd4fa593bc3df65a831c1be | com.powerful.phone.android.cleaner |
有效载荷分发的 URL
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS_ba[.]htm
blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_base[.]css
blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_config[.]json
nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/MeticulousScanner_bs[.]mp3
sahar[.]oss-us-east-1[.]aliyuncs[.]com/care[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence2[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/saiks[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram2[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/twinkle[.]asf
2j1i9uqw[.]oss-eu-central-1[.]aliyuncs[.]com/328718737/armeabi-v7a/ihuq[.]sky
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS[.]json
fgcxweasqw[.]oss-eu-central-1[.]aliyuncs[.]com/fdcxqewsswq/dir[.]png
jk8681oy[.]oss-eu-central-1[.]aliyuncs[.]com/fsaxaweqwa/amly[.]art
n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/H20PDF29[.]txt
n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/font106[.]ttf
nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html
proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/m94[.]dir
proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/response[.]js
laodaoo[.]oss-ap-southeast-5.aliyuncs[.]com/allgood2[.]webp
laodaoo[.]oss-ap-southeast-5[.]aliyuncs[.]com/flower[.]webp
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful[.]mov
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful2[.]mov
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com//intro[.]mov
最终 C&C:
161[.]117[.]229[.]58
161[.]117[.]83[.]26
47[.]74[.]179[.]177
来源: https://www.zscaler.com/blogs/security-research/joker-playing-hide-and-seek-google-play
如何保持安全?
- 如果您的手机上安装了上述任何内容,我们建议您将其卸载。
- 安装扫描仪、壁纸、消息应用程序时,请确保它们来自受信任的来源。 因为这些是 Joker Malware 所针对的应用程序类型。
- 在手机上安装反恶意软件应用程序,并确保定期扫描智能手机。 为此,您可以尝试使用 Systweak Anti Malware。
- 注意您授予的权限。 如果您认为它们对应用程序的运行不重要,请避免授予它们。 总是问这样的问题,这个应用程序需要这些权限吗? 授予这些权限有什么帮助?
- 当您计划使用 SMS 消息应用程序时,请问您是否使用该应用程序? 如果是,请尝试使用 Telegram 和其他端到端加密应用程序,因为它们可靠且使用安全。
- 阅读警报,因为它们揭示了很多信息。 如果您不确定是否有任何权限,请完全卸载该应用程序。
另请阅读:保护您的 Android 设备的一站式解决方案
小丑恶意软件 - 保持安全和受到保护
Joker Malware 旨在感染 Android 应用程序,它是智能的,它确保 Google 无法检测到它。 这就是为什么即使谷歌知道它并不断删除受感染的应用程序,它也会以新技术重新出现并感染更多应用程序。 保持保护的唯一方法是注意和谨慎。
使用像 Systweak Anti Malware 这样的防病毒应用程序肯定会增加额外的安全层,但您需要小心您授予的权限。
小丑恶意软件很聪明,它已经感染了成千上万的受害者。 但是,按照说明的提示操作,您可以得到保护。
我们希望您会关注他们,并尽量不要陷入这种可怕的恶意软件的魔掌。 如果您发现这些信息有帮助,请与他人分享。 如果您有什么要补充的,请在评论框中分享您的建议。