Joker Malware visa usuários Android para roubar mensagens SMS e listas de contatos

Joker Malware visa usuários Android para roubar mensagens SMS e listas de contatos. O Joker é uma das famílias de malware mais proeminentes que visam continuamente os dispositivos Android, sua principal atividade é estimular cliques em mensagens SMS e se inscrever para serviços premium pagos indesejados.

O malware foi encontrado novamente no Google play, empregando alterações em seu código, métodos de execução ou técnicas de recuperação de carga útil.

Malware Joker no Google Play

Os pesquisadores de segurança da equipe de pesquisa Zscaler ThreatLabZ identificaram o upload regular de arquivos infectados por malware na Google Play Store.

Isso considerar a avaliação de como o Joker é tão bem-sucedido em contornar o processo de verificação do Google Play. Os pesquisadores identificaram 17 amostras diferentes carregadas regularmente para o Google Play em setembro de 2020. Houve um total de cerca de 120.000 downloads para os aplicativos maliciosos identificados, segundo a postagem do blog Zscaler .

A equipe de pesquisa Zscaler ThreatLabZ monitora constantemente o malware Joker. Recentemente, viram uploads regulares dele para a Google Play Store. Depois de notificada, a equipe de segurança do  Google Android agiu imediatamente para remover os aplicativos suspeitos (listados abaixo) da Google Play Store. 

Aqui está a lista de aplicativos afetados;

  • All Good PDF Scanner
  • Mint Leaf Message – sua mensagem privada
  • Teclado exclusivo – Fontes extravagantes e emoticons grátis
  • Tangram App Lock
  • Messenger direto
  • SMS privado
  • Tradutor de uma frase – tradutor multifuncional
  • Estilo Photo Collage
  • Scanner meticuloso
  • Desire Translate
  • Editor de Fotos de Talento – Desfoque o foco
  • Mensagem de Cuidado
  • Parte Mensagem
  • Paper Doc Scanner
  • Scanner Azul
  • Hummingbird PDF Converter – Foto para PDF
  • All Good PDF Scanner

O malware rouba o dinheiro dos usuários, inscrevendo-os em assinaturas pagas sem o seu consentimento. Ele estimula a interação com anúncios e, em seguida, rouba mensagens das vítimas, incluindo OTP para autenticar pagamentos.

Os pesquisadores observaram três cenários de infecção diferentes

Cenário 1: O mal-intencionado ofuscou o URL C&C incorporado no aplicativo para download direto, uma vez instalado, o aplicativo mal-intencionado entra em contato com o servidor C&C para download.

Cenário 2: os aplicativos maliciosos têm a carga útil estagiária adicionada; a tarefa dessa carga útil estagiária é simplesmente recuperar o URL da carga útil final do código, fazer o download e executá-lo.

Cenário 3: os aplicativos infectados têm dois estágios de cargas úteis para então baixar a carga útil final. o aplicativo infectado do Google Play baixa a carga útil do estágio um, que baixa a carga útil do estágio dois, que finalmente carrega a carga útil final do Joker.

Com todos os cenários, a carga útil final baixada é o malware Joker e usa criptografia DES para executar as atividades C&C. É sempre recomendável verificar as permissões dos aplicativos que você está instalando.

Recomendações

A equipe da ZScaler Recomendamos prestar atenção à lista de permissões nos aplicativos que você instala no seu dispositivo Android. Sempre esteja atento às permissões de risco relacionadas a SMS, registros de chamadas, contatos e muito mais. Ler o comentário ou análises na página do aplicativo também ajuda a identificar aplicativos comprometidos.

 

IOCs

Aplicativos infectados no GooglePlay:

 

MD5s

Nome do pacote

2086f0d40e611c25357e8906ebb10cd1

com.carefrendly.message.chat

b8dea8e30c9f8dc5d81a5c205ef6547b

com.docscannercamscanpaper

5a5756e394d751fae29fada67d498db3

com.focusphoto.talent.editor

8dca20f649f4326fb4449e99f7823a85

com.language.translate.desire.voicetranlate

6c34f9d6264e4c3ec2ef846d0badc9bd

com.nightsapp.translate.sentence

04b22ab4921d01199c9a578d723dc6d6

com.password.quickly.applock

b488c44a30878b10f78d674fc98714b0

com.styles.simple.photocollage.photos

a6c412c2e266039f2d4a8096b7013f77

com.unique.input.style.my.keyboard

4c5461634ee23a4ca4884fc9f9ddb348

dirsms.welcome.android.dir.messenger

e4065f0f5e3a1be6a56140ed6ef73df7

pdf.converter.image.scanner.files

bfd2708725bd22ca748140961b5bfa2a

message.standardsms.partmessenger

164322de2c46d4244341e250a3d44165

mintleaf.message.messenger.tosms.ml

88ed9afb4e532601729aab511c474e9a

omg.documents.blue.pdfscanner

27e01dd651cf6d3362e28b7628fe65a4

pdf.maker.scan.image.phone.scanner

e7b8f388051a0172846d3b3f7a3abd64

prisms.texting.messenger.coolsms

0ab0eca13d1c17e045a649be27927864

com.gooders.pdfscanner.gp

bfbe04fd0dd4fa593bc3df65a831c1be

com.powerful.phone.android.cleaner

 

URLs de distribuição de carga útil

blackdragon [.] oss-ap-northeast-5 [.] aliyuncs [.] com / privateSMS_ba [.] htm

blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_base[.]css

blackdragon03 [.] oss-ap-northeast-5 [.] aliyuncs [.] com / partMessage_config [.] json

nono03 [.] oss-ap-sudeste-5 [.] aliyuncs [.] com / MeticulousScanner_bs [.] mp3

sahar [.] oss-us-east-1 [.] aliyuncs [.] com / care [.] asf

sahar [.] oss-us-east-1 [.] aliyuncs [.] com / onesentence [.] asf

sahar [.] oss-us-east-1 [.] aliyuncs [.] com / onesentence2 [.] asf

sahar [.] oss-us-east-1 [.] aliyuncs [.] com / saiks [.] asf

sahar [.] oss-us-east-1 [.] aliyuncs [.] com / tangram [.] asf

sahar [.] oss-us-east-1 [.] aliyuncs [.] com / tangram2 [.] asf

sahar [.] oss-us-east-1 [.] aliyuncs [.] com / twinkle [.] asf

2j1i9uqw[.]oss-eu-central-1[.]aliyuncs[.]com/328718737/armeabi-v7a/ihuq[.]sky

blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html

blackdragon [.] oss-ap-sudeste-5 [.] aliyuncs [.] com / privateSMS [.] json

fgcxweasqw[.]oss-eu-central-1[.]aliyuncs[.]com/fdcxqewsswq/dir[.]png

jk8681oy[.]oss-eu-central-1[.]aliyuncs[.]com/fsaxaweqwa/amly[.]art

n47n [.] oss-ap-sudeste-5 [.] aliyuncs [.] com / H20PDF29 [.] txt

n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/font106[.]ttf

nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html

proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/m94[.]dir

proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/response[.]js

laodaoo [.] oss-ap-northeast-5.aliyuncs [.] com / allgood2 [.] webp

laodaoo[.]oss-ap-southeast-5[.]aliyuncs[.]com/flower[.]webp

rinimae [.] oss-ap-northeast-5 [.] aliyuncs.com/powerful[.]mov

rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful2[.]mov

rinimae[.]oss-ap-southeast-5[.]aliyuncs.com//intro[.]mov

 

C&C final:

161[.]117[.]229[.]58

161[.]117[.]83[.]26

47[.]74[.]179[.]177

 

Fonte: GBHackers e Zscaler 


 

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!