Несмешной Joker вернулся. Здесь мы не имеем в виду Джокера, который вызывает у вас улыбку. Вместо этого мы говорим о вредоносном вредоносном ПО, которое крадет вашу информацию. И на этот раз (по данным Quick Heal Security Labs) он заразил восемь новых приложений в Google Play Store. Было обнаружено, что где-то в 2017 году вредоносное ПО Joker заразило до 40 приложений для Android.
Но что такое вредоносная программа Joker и как она работает? Есть ли способ оставаться в безопасности? Чтобы узнать об этом подробнее, читайте дальше.
Что такое вредоносное ПО Joker?
Обнаруженный в приложениях Google Play Store в течение последних трех лет, Joker принадлежит к одному из известных семейств вредоносных программ, нацеленных на устройства Android. Дело не в том, что Google ничего не знает об этой вредоносной программе или не предпринимает никаких действий. Тем не менее, вредоносное ПО достаточно умен, чтобы проникнуть на официальный рынок приложений Google. Для заражения приложений вредоносная программа-троян изменяет свой код, методы выполнения или методы получения полезной нагрузки.
Основная цель этого шпионского ПО-незаметно подписывать жертв на услуги премиального протокола беспроводных приложений (WAP), красть списки контактов, SMS-сообщения и информацию об устройстве.
Как работает вредоносное ПО Joker?
Чтобы украсть информацию, заразить устройство и заставить людей подписаться на премиальные подписки без ведома и согласия, Joker Malware проникает в устройство через различные приложения и затем молча выполняет все задачи. Что особенно важно, троянец в фоновом режиме взаимодействует с рекламными сайтами и подписывает жертву на премиальные услуги.
Когда эти зараженные приложения запускаются, запрашивается разрешение на доступ к уведомлениям, это помогает получать уведомления и данные SMS через уведомление. После этого Joker Malware запрашивает доступ к контактам, а затем разрешение на управление телефонными звонками. После предоставления всех запрошенных разрешений Троянская программа продолжает работать в фоновом режиме, не показывая пользователю никаких признаков вредоносной активности.
Также прочтите: Что такое FileRepMalware? Как от этого избавиться?
Что делает Джокера таким опасным?
Как и Джокер из сериала о Бэтмене, этот Джокер также жуткий и опасный.
Когда зараженное приложение используется жертвой, вредоносная программа Joker начинает шпионить за телефоном, крадет информацию и удаленно отправляет ее хакерам. Joker также копирует текстовые SMS-сообщения, списки контактов и делится конфиденциальной личной информацией, которая затем используется для выполнения кража личных данных , мошенничество и другие хакерские действия.
Больше всего в Joker тревожно то, что он способен автоматически регистрировать зараженные устройства для услуг премиум-класса по протоколу беспроводных приложений (WAP). Это может дорого стоить пользователям в месяц.
Почему Joker Malware попадает в заголовки новостей?
В последнее время, согласно новый отчет от Quick Heal: обнаружено, что шпионское ПО заражает все новые приложения для Android.
Ниже приводится список зараженных приложений:
- Вспомогательное сообщение
- Fast Magic SMS
- Бесплатный CamScanner
- Супер-сообщение
- Сканер элементов
- Сообщения Go
- Обои для рабочего стола
- Супер SMS
Если вы скачали и используете какое-либо из этих приложений, рекомендуется удалить их, поскольку ваше устройство и конфиденциальность могут быть под угрозой.
Помимо этого, были обнаружены и другие зараженные приложения:
- Сканер PDF All Good
- Сообщение Mint Leaf-Ваше личное сообщение
- Уникальная клавиатура-необычные шрифты и бесплатные смайлики
- Блокировка приложений Tangram
- Direct Messenger
- Частные SMS
- Переводчик одного предложения-многофункциональный переводчик
- Стиль фотоколлажа
- Тщательный сканер
- Переводчик Desire
- Редактор фотографий талантов-фокус размытия
- Сообщение об уходе
- Часть сообщения
- Сканер документов для бумаги
- Синий сканер
- Конвертер PDF Hummingbird-Фото в PDF
- Мощный очиститель
(На момент написания все эти приложения были удалены из магазина Google Play.)
Симптомы-вредоносное ПО Joker
- Устройство тормозит больше, чем обычно.
- Системные настройки изменяются без разрешения пользователя.
- На вашем устройстве Android появляются разные неизвестные приложения.
- Значительно увеличиваются объем данных и потребление батареи.
- Браузеры перенаправляют вас на мошеннические веб-сайты.
- Посмотрите несколько навязчивых рекламных объявлений, которых раньше не было.
Ущерб, причиненный вредоносным ПО Joker
- Похищает личную информацию с помощью SMS.
- Снижение производительности телефона.
- Батарея разряжается быстрее, чем обычно.
- Заметное снижение скорости интернета.
- Значительные данные и денежные убытки.
Тактика, использованная автором вредоносной программы Joker для обхода системы безопасности Google Play
Прямая загрузка
Окончательная полезная нагрузка доставляется через прямой URL-адрес, полученный от сервера управления и контроля (C&C). В этом варианте у зараженного приложения из магазина Google Play C&C адрес скрыт в самом коде с обфускацией строк.
Одноэтапное скачивание
У зараженного приложения из магазина Google Play URL-адрес полезной нагрузки stager закодирован в самом коде, зашифрованном с помощью Advanced Encryption Standard (AES).
Двухэтапная загрузка
Зараженное приложение Google Play загружает полезные данные первого этапа, которые загружают полезные данные второго этапа, а затем загружают конечные данные Joker.
МОК
Зараженные приложения в GooglePlay:
| MD5 | Название пакета |
|---|---|
| 2086f0d40e611c25357e8906ebb10cd1 | com.carefrendly.message.chat |
| b8dea8e30c9f8dc5d81a5c205ef6547b | com.docscannercamscanpaper |
| 5a5756e394d751fae29fada67d498db3 | com.focusphoto.talent.editor |
| 8dca20f649f4326fb4449e99f7823a85 | com.language.translate.desire.voicetranlate |
| 6c34f9d6264e4c3ec2ef846d0badc9bd | com.nightsapp.translate.sentence |
| 04b22ab4921d01199c9a578d723dc6d6 | com.password.quickly.applock |
| b488c44a30878b10f78d674fc98714b0 | com.styles.simple.photocollage.photos |
| a6c412c2e266039f2d4a8096b7013f77 | com.unique.input.style.my.keyboard |
| 4c5461634ee23a4ca4884fc9f9ddb348 | dirsms.welcome.android.dir.messenger |
| e4065f0f5e3a1be6a56140ed6ef73df7 | pdf.converter.image.scanner.files |
| bfd2708725bd22ca748140961b5bfa2a | message.standardsms.partmessenger |
| 164322de2c46d4244341e250a3d44165 | mintleaf.message.messenger.tosms.ml |
| 88ed9afb4e532601729aab511c474e9a | omg.documents.blue.pdfscanner |
| 27e01dd651cf6d3362e28b7628fe65a4 | pdf.maker.scan.image.phone.scanner |
| e7b8f388051a0172846d3b3f7a3abd64 | prisms.texting.messenger.coolsms |
| 0ab0eca13d1c17e045a649be27927864 | com.gooders.pdfscanner.gp |
| bfbe04fd0dd4fa593bc3df65a831c1be | com.powerful.phone.android.cleaner |
URL-адреса распространения полезной нагрузки
blackdragon[.uneoss-ap-southeast-5[.ptingaliyuncs[.ократичноcom/privateSMS_ba[.uneshtm
)
blackdragon03[.ptingoss-ap-southeast-5[.ptingaliyuncs[.unescom/partMessage_base[. ]css
blackdragon03[.ptingoss-ap-southeast-5[.ptingaliyuncs[.unescom/partMessage_config[. ]json
nineth03[.ptingoss-ap-southeast-5[.ократичноaliyuncs[.ptingcom/MeticulousScanner_bs[. ]mp3
sahar[.ptingoss-us-east-1[.ptingaliyuncs[.unescom/care[.ptingasf
)
sahar[.ократичноoss-us-east-1[.ptingaliyuncs[.unescom/onesentence[.unesf
)
sahar[.ократичноoss-us-east-1[.ptingaliyuncs[.unescom/onesentence2[.ократичноasf
)
sahar[. opensoss-us-east-1[.unesaliyuncs[.unescom/saiks[.unesf
)
sahar[. opensoss-us-east-1[.unesaliyuncs[.unescom/tangram[.unesf
)
sahar[. opensoss-us-east-1[.unesaliyuncs[.unescom/tangram2[.unesf
)
sahar[.ократичноoss-us-east-1[.unesaliyuncs[.unescom/twinkle[.unesf
)
2j1i9uqw[.ократичноoss-eu-central-1[.ptingaliyuncs[.ptingcom/328718737/armeabi-v7a/ihuq[.ократично
)
blackdragon[.uneoss-ap-southeast-5[.ptingaliyuncs[.unescom/blackdragon[.uneshtml
)
blackdragon[.uneoss-ap-southeast-5[.ptingaliyuncs[.unescom/privateSMS[.ократичноjson
)
fgcxweasqw[.ократичноoss-eu-central-1[.ptingaliyuncs[.ократичноcom/fdcxqewsswq/dir[.unepng
)
jk8681oy [. ]oss-eu-central-1 [. ]aliyuncs [. ]com/fsaxaweqwa/amly [. ]art
n47n[.ptingoss-ap-southeast-5[.ptingaliyuncs[.ptingcom/H20PDF29[.ptingtxt
)
n47n[.ptingoss-ap-southeast-5[.ptingaliyuncs[.ptingcom/font106[.unesttf
)
nineth03[.ptingoss-ap-southeast-5[.ptingaliyuncs[.unescom/blackdragon[.uneshtml
)
proxy48[.ptingoss-eu-central-1[.ptingaliyuncs[.unescom/m94[.unesdir
)
proxy48[.ptingoss-eu-central-1[.ptingaliyuncs[.unescom/response[.unes
)
laodaoo[.ократичноoss-ap-southeast-5.aliyuncs[.ократичноcom/allgood2[.uneswebp
laodaoo[.ptingoss-ap-southeast-5[.ptingaliyuncs[.unescom/flower[.uneswebp
)
rinimae
rinimae
rinimae
Последний C&C:
161[.ght117[.ght229[.unes58
)
161[.pting117[.pting83[.ократизм26
)
47
Источник: https://www.zscaler.com/blogs/security-research/joker-playing-hide-and-seek-google-play
Как оставаться в безопасности?
- Если на вашем телефоне установлено что-либо из вышеперечисленного, рекомендуем удалить его.
- При установке сканера, обоев и сообщений убедитесь, что они получены из надежного источника. Поскольку именно на эти типы приложений нацелен Joker Malware.
- Установите приложение для защиты от вредоносных программ на свой телефон и регулярно сканируйте свой смартфон. Вы можете попробовать использовать Systweak Anti Вредоносное ПО для этой цели.
- Обратите внимание на то, какие разрешения вы предоставляете. Если вы считаете, что они не важны для работы приложения, не предоставляйте их. Всегда задавайте вопросы, например, нужны ли этому приложению эти разрешения? Как предоставление этих разрешений поможет?
- Если вы планируете использовать приложение для обмена SMS-сообщениями, спросите, пользуетесь ли вы им? Если да, попробуйте использовать Telegram и другие приложения со сквозным шифрованием, поскольку они надежны и безопасны в использовании.
- Прочтите предупреждения, поскольку они содержат много информации. Если вы не уверены в каких-либо разрешениях, удалите приложение полностью.
Также прочтите: Универсальное решение для защиты вашего Android-устройства
Вредоносное ПО Joker-оставайтесь в безопасности и защищайтесь
Разработанный для заражения приложений Android, Joker Malware является интеллектуальным и гарантирует, что Google не сможет его обнаружить. Вот почему, даже когда Google знает об этом и продолжает удалять зараженные приложения, он снова появляется с новыми методами и заражает больше приложений. Единственный способ оставаться в безопасности-быть внимательными и осторожными.
Использование антивирусного приложения , например Systweak Anti Malware, несомненно, добавит дополнительный уровень безопасности, но вы должны быть осторожны с разрешениями, которые вы предоставляете.
Joker Malware-хитроумная программа, заразившая тысячи жертв. Однако, следуя приведенным ниже советам, вы можете оставаться в безопасности.
Мы надеемся, что вы последуете за ними и постараетесь не попасть в лапы этой ужасной вредоносной программы. Если вы найдете информацию полезной, поделитесь ею с другими. Если вам есть что добавить, поделитесь своими предложениями в поле для комментариев.