Вредоносное ПО Joker возвращается — вот что вам нужно знать, чтобы оставаться под защитой

Несмешной Джокер вернулся. Здесь мы не имеем в виду Джокера, который вызывает у вас улыбку. Вместо этого мы говорим о неприятных вредоносных программах, которые крадут вашу информацию. И на этот раз (по данным Quick Heal Security Labs) он заразил восемь новых приложений в Google Play Store. Вредоносная программа Joker, обнаруженная где-то в 2017 году, заразила до 40 приложений для Android.

Но что такое вредоносное ПО Joker и как оно работает? Есть ли способ оставаться защищенным? Чтобы узнать больше об этом, читайте дальше.

Что такое вредоносное ПО Joker?

Джокер, замеченный в приложениях Google Play Store в течение последних трех лет, принадлежит к одному из известных семейств вредоносных программ, нацеленных на устройства Android. Дело не в том, что Google не знает об этой вредоносной программе или не предпринимает никаких действий. Тем не менее вредоносное ПО достаточно умно, чтобы проникнуть на официальный рынок приложений Google. Чтобы заразить приложения, троянская вредоносная программа изменяет свой код, методы выполнения или методы получения полезной нагрузки.

Основная цель этого шпионского ПО — незаметно подписывать жертв на услуги премиум-протокола беспроводных приложений (WAP), красть списки контактов, SMS-сообщения и информацию об устройстве.

Как работает вредоносное ПО Joker?

Чтобы украсть информацию, заразить устройство и заставить людей подписаться на премиум-подписки без ведома и согласия, Joker Malware проникает в устройство через различные приложения, а затем молча выполняет все задачи. Самое главное, троянец взаимодействует с рекламными сайтами в фоновом режиме и подписывается жертве на платные услуги.

Когда эти зараженные приложения запускаются, запрашивается разрешение на доступ к уведомлениям, это помогает получать уведомления и данные SMS через уведомление. После этого Joker Malware запрашивает доступ к контактам, а затем разрешение на управление телефонными звонками. После предоставления всех запрошенных разрешений троянец продолжает работать в фоновом режиме, не показывая пользователю никаких признаков вредоносной активности.

Читайте также: Что такое FileRepMalware? Как от этого избавиться?

Что делает Джокера таким опасным?

Как и Джокер в сериале о Бэтмене, этот Джокер также жуткий и опасный.

По мере того, как зараженное приложение используется жертвой, вредоносная программа Joker начинает шпионить за телефоном, похищает информацию и удаленно отправляет ее хакерам. Joker также копирует текстовые SMS-сообщения, списки контактов и делится конфиденциальной личной информацией, которая затем используется для кражи личных данных, мошенничества и других хакерских действий.

Самое тревожное в Joker — это то, что он способен автоматически регистрировать зараженные устройства в службах протокола беспроводных приложений премиум-класса (WAP). Это может дорого стоить пользователям в месяц.

Почему Joker Malware попал в заголовки новостей?

В последнее время, согласно новому отчету Quick Heal, шпионское ПО заражает восемь новых приложений для Android.

Ниже приведен список зараженных приложений:

1. Вспомогательное сообщение
2. Быстрые магические СМС
3. Бесплатный CamScanner
4. Супер сообщение
5. Сканер элементов
6. Перейти к сообщениям
7. Путешествия Обои
8. Супер СМС

Если вы загрузили и используете какое-либо из этих приложений, рекомендуется удалить их, так как ваше устройство и конфиденциальность могут быть под угрозой.

В дополнение к этому, другими приложениями, которые оказались зараженными, являются:

• Все хорошо Сканер PDF
• Сообщение листа мяты-Ваше личное сообщение
• Уникальная клавиатура – ​​модные шрифты и бесплатные смайлики
• Блокировка приложения Танграм
• Прямой мессенджер
• Частные СМС
• One Sentence Translator – многофункциональный переводчик
• Стильный фотоколлаж
• Дотошный сканер
• Желание Перевод
• Talent Photo Editor – Размытие фокуса
• Сообщение об уходе
• Часть сообщения
• Сканер бумажных документов
• Синий сканер
• Hummingbird PDF Converter – Фото в PDF
• Мощный очиститель

(На момент написания все эти приложения были удалены из магазина Google Play.)

Симптомы – вредоносное ПО Joker

• Устройство тормозит больше, чем обычно.
• Системные настройки изменяются без разрешения пользователей.
• На вашем Android-устройстве появляются разные неизвестные приложения.
• Использование данных и батареи значительно увеличивается.
• Браузеры перенаправляют вас на мошеннические веб-сайты.
• Увидите несколько навязчивых рекламных объявлений, которых раньше не было.

Ущерб от вредоносного ПО Joker

• Крадет личную информацию через SMS
• Снижение производительности телефона
• Батарея разряжается быстрее, чем обычно
• Заметное снижение скорости интернета
• Значительные данные и денежные потери

Тактика, используемая автором вредоносного ПО Joker для обхода системы безопасности Google Play

Прямое скачивание

Окончательная полезная нагрузка доставляется через прямой URL-адрес, полученный от сервера управления и контроля (C&C). В этом варианте зараженное приложение магазина Google Play имеет адрес C&C, скрытый в самом коде с обфускацией строки.

Одноэтапная загрузка

Зараженное приложение магазина Google Play имеет URL-адрес полезной нагрузки stager, закодированный в самом коде, зашифрованном с использованием Advanced Encryption Standard (AES).

Двухэтапная загрузка

Зараженное приложение Google Play загружает полезную нагрузку первого этапа, которая загружает полезную нагрузку второго этапа, которая, наконец, загружает полезную нагрузку конца Joker.

МОК

Зараженные приложения в GooglePlay:

URL-адреса распространения полезной нагрузки

blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS_ba[.]htm

blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_base[.]css

blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_config[.]json

nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/MeticulousScanner_bs[.]mp3

sahar[.]oss-us-east-1[.]aliyuncs[.]com/care[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence2[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/saiks[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram2[.]asf

sahar[.]oss-us-east-1[.]aliyuncs[.]com/twinkle[.]asf

2j1i9uqw[.]oss-eu-central-1[.]aliyuncs[.]com/328718737/armeabi-v7a/ihuq[.]sky

blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html

blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS[.]json

fgcxweasqw[.]oss-eu-central-1[.]aliyuncs[.]com/fdcxqewsswq/dir[.]png

jk8681oy[.]oss-eu-central-1[.]aliyuncs[.]com/fsaxaweqwa/amly[.]art

n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/H20PDF29[.]txt

n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/font106[.]ttf

nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html

proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/m94[.]dir

proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/response[.]js

laodaoo[.]oss-ap-southeast-5.aliyuncs[.]com/allgood2[.]webp

laodaoo[.]oss-ap-southeast-5[.]aliyuncs[.]com/flower[.]webp

rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful[.]mov

rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful2[.]mov

rinimae[.]oss-ap-southeast-5[.]aliyuncs.com//intro[.]mov

Окончательный командный код:

161[.]117[.]229[.]58

161[.]117[.]83[.]26

47[.]74[.]179[.]177

Источник: https://www.zscaler.com/blogs/security-research/joker-playing-hide-and-seek-google-play.

Как оставаться в безопасности?

• Если на вашем телефоне установлено что-либо из вышеперечисленного, мы рекомендуем удалить их.
• При установке приложений сканера, обоев, сообщений убедитесь, что они получены из надежного источника. Поскольку это типы приложений, на которые нацелена вредоносная программа Joker.
• Установите приложение для защиты от вредоносных программ на свой телефон и регулярно сканируйте свой смартфон. Вы можете попробовать использовать Systweak Anti Malware для этой цели.
• Обратите внимание на то, какие разрешения вы предоставляете. Если вы считаете, что они не важны для работы приложения, избегайте их предоставления. Всегда задавайте такие вопросы, как Нужны ли этому приложению эти разрешения? Как предоставление этих разрешений поможет?
• Когда вы планируете использовать приложение для обмена SMS-сообщениями, спросите, используете ли вы это приложение? Если да, попробуйте использовать Telegram и другие приложения со сквозным шифрованием, поскольку они надежны и безопасны в использовании.
• Читайте предупреждения, так как они раскрывают много информации. Если вы не уверены в каком-либо разрешении, полностью удалите приложение.

Читайте также: Универсальное решение для защиты вашего Android-устройства

Вредоносное ПО Joker — оставайтесь в безопасности и под защитой

Joker Malware, предназначенный для заражения приложений Android, является интеллектуальным и гарантирует, что Google не сможет его обнаружить. Вот почему, даже когда Google знает об этом и продолжает удалять зараженные приложения, он снова появляется с новыми методами и заражает больше приложений. Единственный способ защититься — быть внимательным и осторожным.

Использование антивирусного приложения, такого как Systweak Anti Malware, безусловно, добавит дополнительный уровень безопасности, но вам нужно быть осторожным с разрешениями, которые вы предоставляете.

Вредоносная программа Joker умна и заразила тысячи жертв. Тем не менее, следуя советам, как описано, вы можете оставаться в безопасности.

Мы надеемся, что вы последуете им и постараетесь не попасть в лапы этой страшной вредоносной программы. Если вы найдете информацию полезной, поделитесь ею с другими. Если у вас есть что добавить, поделитесь своими предложениями в поле для комментариев.