Joker Malware visa usuários Android para roubar mensagens SMS e listas de contatos. O Joker é uma das famílias de malware mais proeminentes que visam continuamente os dispositivos Android, sua principal atividade é estimular cliques em mensagens SMS e se inscrever para serviços premium pagos indesejados.
O malware foi encontrado novamente no Google play, empregando alterações em seu código, métodos de execução ou técnicas de recuperação de carga útil.
Malware Joker no Google Play
Os pesquisadores de segurança da equipe de pesquisa Zscaler ThreatLabZ identificaram o upload regular de arquivos infectados por malware na Google Play Store.
Isso considerar a avaliação de como o Joker é tão bem-sucedido em contornar o processo de verificação do Google Play. Os pesquisadores identificaram 17 amostras diferentes carregadas regularmente para o Google Play em setembro de 2020. Houve um total de cerca de 120.000 downloads para os aplicativos maliciosos identificados, segundo a postagem do blog Zscaler .
A equipe de pesquisa Zscaler ThreatLabZ monitora constantemente o malware Joker. Recentemente, viram uploads regulares dele para a Google Play Store. Depois de notificada, a equipe de segurança do Google Android agiu imediatamente para remover os aplicativos suspeitos (listados abaixo) da Google Play Store.
Aqui está a lista de aplicativos afetados;
- All Good PDF Scanner
- Mint Leaf Message – sua mensagem privada
- Teclado exclusivo – Fontes extravagantes e emoticons grátis
- Tangram App Lock
- Messenger direto
- SMS privado
- Tradutor de uma frase – tradutor multifuncional
- Estilo Photo Collage
- Scanner meticuloso
- Desire Translate
- Editor de Fotos de Talento – Desfoque o foco
- Mensagem de Cuidado
- Parte Mensagem
- Paper Doc Scanner
- Scanner Azul
- Hummingbird PDF Converter – Foto para PDF
- All Good PDF Scanner
O malware rouba o dinheiro dos usuários, inscrevendo-os em assinaturas pagas sem o seu consentimento. Ele estimula a interação com anúncios e, em seguida, rouba mensagens das vítimas, incluindo OTP para autenticar pagamentos.
Os pesquisadores observaram três cenários de infecção diferentes
Cenário 1: O mal-intencionado ofuscou o URL C&C incorporado no aplicativo para download direto, uma vez instalado, o aplicativo mal-intencionado entra em contato com o servidor C&C para download.
Cenário 2: os aplicativos maliciosos têm a carga útil estagiária adicionada; a tarefa dessa carga útil estagiária é simplesmente recuperar o URL da carga útil final do código, fazer o download e executá-lo.
Cenário 3: os aplicativos infectados têm dois estágios de cargas úteis para então baixar a carga útil final. o aplicativo infectado do Google Play baixa a carga útil do estágio um, que baixa a carga útil do estágio dois, que finalmente carrega a carga útil final do Joker.
Com todos os cenários, a carga útil final baixada é o malware Joker e usa criptografia DES para executar as atividades C&C. É sempre recomendável verificar as permissões dos aplicativos que você está instalando.
Recomendações
A equipe da ZScaler Recomendamos prestar atenção à lista de permissões nos aplicativos que você instala no seu dispositivo Android. Sempre esteja atento às permissões de risco relacionadas a SMS, registros de chamadas, contatos e muito mais. Ler o comentário ou análises na página do aplicativo também ajuda a identificar aplicativos comprometidos.
IOCs
Aplicativos infectados no GooglePlay:
|
MD5s |
Nome do pacote |
|
2086f0d40e611c25357e8906ebb10cd1 |
com.carefrendly.message.chat |
|
b8dea8e30c9f8dc5d81a5c205ef6547b |
com.docscannercamscanpaper |
|
5a5756e394d751fae29fada67d498db3 |
com.focusphoto.talent.editor |
|
8dca20f649f4326fb4449e99f7823a85 |
com.language.translate.desire.voicetranlate |
|
6c34f9d6264e4c3ec2ef846d0badc9bd |
com.nightsapp.translate.sentence |
|
04b22ab4921d01199c9a578d723dc6d6 |
com.password.quickly.applock |
|
b488c44a30878b10f78d674fc98714b0 |
com.styles.simple.photocollage.photos |
|
a6c412c2e266039f2d4a8096b7013f77 |
com.unique.input.style.my.keyboard |
|
4c5461634ee23a4ca4884fc9f9ddb348 |
dirsms.welcome.android.dir.messenger |
|
e4065f0f5e3a1be6a56140ed6ef73df7 |
pdf.converter.image.scanner.files |
|
bfd2708725bd22ca748140961b5bfa2a |
message.standardsms.partmessenger |
|
164322de2c46d4244341e250a3d44165 |
mintleaf.message.messenger.tosms.ml |
|
88ed9afb4e532601729aab511c474e9a |
omg.documents.blue.pdfscanner |
|
27e01dd651cf6d3362e28b7628fe65a4 |
pdf.maker.scan.image.phone.scanner |
|
e7b8f388051a0172846d3b3f7a3abd64 |
prisms.texting.messenger.coolsms |
|
0ab0eca13d1c17e045a649be27927864 |
com.gooders.pdfscanner.gp |
|
bfbe04fd0dd4fa593bc3df65a831c1be |
com.powerful.phone.android.cleaner |
URLs de distribuição de carga útil
blackdragon [.] oss-ap-northeast-5 [.] aliyuncs [.] com / privateSMS_ba [.] htm
blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_base[.]css
blackdragon03 [.] oss-ap-northeast-5 [.] aliyuncs [.] com / partMessage_config [.] json
nono03 [.] oss-ap-sudeste-5 [.] aliyuncs [.] com / MeticulousScanner_bs [.] mp3
sahar [.] oss-us-east-1 [.] aliyuncs [.] com / care [.] asf
sahar [.] oss-us-east-1 [.] aliyuncs [.] com / onesentence [.] asf
sahar [.] oss-us-east-1 [.] aliyuncs [.] com / onesentence2 [.] asf
sahar [.] oss-us-east-1 [.] aliyuncs [.] com / saiks [.] asf
sahar [.] oss-us-east-1 [.] aliyuncs [.] com / tangram [.] asf
sahar [.] oss-us-east-1 [.] aliyuncs [.] com / tangram2 [.] asf
sahar [.] oss-us-east-1 [.] aliyuncs [.] com / twinkle [.] asf
2j1i9uqw[.]oss-eu-central-1[.]aliyuncs[.]com/328718737/armeabi-v7a/ihuq[.]sky
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html
blackdragon [.] oss-ap-sudeste-5 [.] aliyuncs [.] com / privateSMS [.] json
fgcxweasqw[.]oss-eu-central-1[.]aliyuncs[.]com/fdcxqewsswq/dir[.]png
jk8681oy[.]oss-eu-central-1[.]aliyuncs[.]com/fsaxaweqwa/amly[.]art
n47n [.] oss-ap-sudeste-5 [.] aliyuncs [.] com / H20PDF29 [.] txt
n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/font106[.]ttf
nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html
proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/m94[.]dir
proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/response[.]js
laodaoo [.] oss-ap-northeast-5.aliyuncs [.] com / allgood2 [.] webp
laodaoo[.]oss-ap-southeast-5[.]aliyuncs[.]com/flower[.]webp
rinimae [.] oss-ap-northeast-5 [.] aliyuncs.com/powerful[.]mov
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful2[.]mov
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com//intro[.]mov
C&C final:
161[.]117[.]229[.]58
161[.]117[.]83[.]26
47[.]74[.]179[.]177
Veja também:
- Gartner: pagar após ataques de ransomware traz grandes riscos
- Google Cloud Buckets expostos por configuração incorreta
- Vulnerabilidade crítica do Windows Server afeta também Samba
- Atualização de segurança do Google Chrome – Atualize Agora!
- INDEFERIDO a Primeira ação pública por tratamento ilegal de dados Pessoais
- Deloitte condenada a pagar 23 milhões de Euros pela auditoria fraudulenta
- LGPD Primeira ação pública por tratamento ilegal de dados Pessoais
- Privacidade nas mídias sociais, como impedir que vazem!
- Equinix é atingida por ransomware, ataque pode ter chegado ao Brasil
- Bolsonaro sanciona lei e LGPD vale a partir de hoje – 18/09
- Dados confidenciais da indústria de cibersegurança na Dark Web
- Servidores Docker infectados com malware DDoS XORDDoS e Kaiji
Deixe sua opinião!