小丑惡意軟件又回來了——這是你需要知道的以保持保護
已發表: 2021-06-28無趣的小丑又回來了。 在這裡,我們不是指給你帶來微笑的小丑。 相反,我們談論的是竊取您信息的惡意惡意軟件。 而這一次,(根據 Quick Heal Security Labs 的說法)它已經感染了 Google Play 商店中的 8 個新應用程序。 Joker 惡意軟件於 2017 年左右被發現,已被發現感染了多達 40 個 Android 應用程序。
但是什麼是 Joker 惡意軟件,它是如何工作的? 有沒有辦法保持保護? 要了解有關它的更多信息,請進一步閱讀。
什麼是小丑惡意軟件?
在過去三年中,Joker 出現在 Google Play Store 應用程序中,屬於以 Android 設備為目標的著名惡意軟件家族之一。 並不是說 Google 不知道這種惡意軟件,或者沒有採取任何行動。 然而,該惡意軟件足夠聰明,可以進入谷歌的官方應用市場。 為了感染應用程序,木馬惡意軟件會更改其代碼、執行方法或有效負載檢索技術。
該間諜軟件的主要目的是讓受害者默默地註冊高級無線應用協議 (WAP) 服務,竊取聯繫人列表、SMS 消息和設備信息。
小丑惡意軟件如何工作?
為了竊取信息、感染設備並讓人們在不知情和不同意的情況下訂閱高級訂閱,Joker Malware 通過不同的應用程序進入設備,然後默默地執行所有任務。 最重要的是,該木馬在後台與廣告網站交互,並為受害者訂閱高級服務。
當這些受感染的應用程序啟動時,系統會詢問通知訪問權限,這有助於通過通知獲取通知和 SMS 數據。 之後,Joker Malware 要求提供聯繫人訪問權限,然後是電話呼叫管理權限。 一旦授予了所有請求的權限,木馬惡意軟件就會繼續在後台運行,而不會向用戶顯示任何惡意活動的跡象。
另請閱讀:什麼是 FileRepMalware? 你怎麼能擺脫它?
是什麼讓小丑如此危險?
就像蝙蝠俠系列中的小丑一樣,這個小丑也是令人毛骨悚然和危險的。
當受害者使用受感染的應用程序時,Joker 惡意軟件開始監視手機,竊取信息並將其遠程發送給黑客。 Joker 還復制 SMS 文本消息、聯繫人列表並共享機密的私人信息,這些信息隨後被用於進行身份盜竊、欺詐和其他黑客活動。
Joker 最令人擔憂的是,它能夠自動為受感染的設備註冊高級無線應用協議 (WAP) 服務。 這可能會使用戶每月花費很多。
為什麼小丑惡意軟件成為新聞頭條?
最近,根據 Quick Heal 的一份新報告,該間諜軟件被發現感染了八款新的 Android 應用程序。
以下是受感染的應用程序列表:
- 輔助信息
- 快速魔術短信
- 免費的掃描儀
- 超級訊息
- 元素掃描儀
- 去消息
- 旅行壁紙
- 超級短信
如果您已下載並正在使用這些應用程序中的任何一個,建議您卸載它們,因為您的設備和隱私可能會受到威脅。
除此之外,其他被發現被感染的應用還有:
- 所有好的PDF掃描儀
- 薄荷葉消息-您的私人消息
- 獨特的鍵盤 - 花式字體和免費表情符號
- 七巧板應用鎖
- 直接信使
- 私人短信
- 一句話翻譯器 - 多功能翻譯器
- 風格照片拼貼
- 細緻的掃描儀
- 願望翻譯
- 人才照片編輯器 - 模糊焦點
- 關懷訊息
- 部分留言
- 紙質文件掃描儀
- 藍色掃描儀
- 蜂鳥 PDF 轉換器 - 照片到 PDF
- 強力清潔劑
(在撰寫本文時,所有這些應用程序都已從 Google Play 商店中刪除。)
症狀 – 小丑惡意軟件
- 設備的速度比正常速度慢。
- 未經用戶許可更改系統設置。
- 您的 Android 設備上會出現不同的未知應用程序。
- 數據和電池使用量顯著增加。
- 瀏覽器會將您重定向到流氓網站。
- 查看幾個之前沒有的侵入性廣告。
Joker 惡意軟件造成的損害
- 通過短信竊取個人信息
- 手機性能下降
- 電池耗電比平時快
- 網速明顯下降
- 重大數據和金錢損失
Joker 惡意軟件作者用來繞過 Google Play 安全性的策略
直接下載
最終有效載荷通過從命令和控制 (C&C) 服務器接收的直接 URL 傳遞。 在此變體中,受感染的 Google Play 商店應用程序將 C&C 地址隱藏在代碼本身中,並使用字符串混淆。
一級下載
受感染的 Google Play 商店應用程序的 stager 有效負載 URL 編碼在使用高級加密標準 (AES) 加密的代碼中。
兩階段下載
受 Google Play 感染的應用程序會下載第一階段的有效負載,該有效負載會下載第二階段的有效負載,最終會加載最終的 Joker 有效負載。
國際奧委會
GooglePlay 上受感染的應用程序:
| MD5s | 包裹名字 |
|---|---|
| 2086f0d40e611c25357e8906ebb10cd1 | com.carefrendly.message.chat |
| b8dea8e30c9f8dc5d81a5c205ef6547b | com.docscannercamscanpaper |
| 5a5756e394d751fae29fada67d498db3 | com.focusphoto.talent.editor |
| 8dca20f649f4326fb4449e99f7823a85 | com.language.translate.desire.voicetranlate |
| 6c34f9d6264e4c3ec2ef846d0badc9bd | com.nightsapp.translate.sentence |
| 04b22ab4921d01199c9a578d723dc6d6 | com.password.quickly.applock |
| b488c44a30878b10f78d674fc98714b0 | com.styles.simple.photocollage.photos |
| a6c412c2e266039f2d4a8096b7013f77 | com.unique.input.style.my.keyboard |
| 4c5461634ee23a4ca4884fc9f9ddb348 | dirsms.welcome.android.dir.messenger |
| e4065f0f5e3a1be6a56140ed6ef73df7 | pdf.converter.image.scanner.files |
| bfd2708725bd22ca748140961b5bfa2a | message.standardsms.partmessenger |
| 164322de2c46d4244341e250a3d44165 | mintleaf.message.messenger.tosms.ml |
| 88ed9afb4e532601729aab511c474e9a | omg.documents.blue.pdfscanner |
| 27e01dd651cf6d3362e28b7628fe65a4 | pdf.maker.scan.image.phone.scanner |
| e7b8f388051a0172846d3b3f7a3abd64 | prisms.texting.messenger.coolsms |
| 0ab0eca13d1c17e045a649be27927864 | com.gooders.pdfscanner.gp |
| bfbe04fd0dd4fa593bc3df65a831c1be | com.powerful.phone.android.cleaner |
有效載荷分發的 URL
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS_ba[.]htm
blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_base[.]css
blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_config[.]json
nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/MeticulousScanner_bs[.]mp3
sahar[.]oss-us-east-1[.]aliyuncs[.]com/care[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence2[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/saiks[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram2[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/twinkle[.]asf
2j1i9uqw[.]oss-eu-central-1[.]aliyuncs[.]com/328718737/armeabi-v7a/ihuq[.]sky
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS[.]json
fgcxweasqw[.]oss-eu-central-1[.]aliyuncs[.]com/fdcxqewsswq/dir[.]png
jk8681oy[.]oss-eu-central-1[.]aliyuncs[.]com/fsaxaweqwa/amly[.]art
n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/H20PDF29[.]txt
n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/font106[.]ttf
nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html
proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/m94[.]dir
proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/response[.]js
laodaoo[.]oss-ap-southeast-5.aliyuncs[.]com/allgood2[.]webp
laodaoo[.]oss-ap-southeast-5[.]aliyuncs[.]com/flower[.]webp
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful[.]mov
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful2[.]mov
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com//intro[.]mov
最終 C&C:
161[.]117[.]229[.]58
161[.]117[.]83[.]26
47[.]74[.]179[.]177
來源: https://www.zscaler.com/blogs/security-research/joker-playing-hide-and-seek-google-play
如何保持安全?
- 如果您的手機上安裝了上述任何內容,我們建議您將其卸載。
- 安裝掃描儀、壁紙、消息應用程序時,請確保它們來自受信任的來源。 因為這些是 Joker Malware 所針對的應用程序類型。
- 在手機上安裝反惡意軟件應用程序,並確保定期掃描智能手機。 為此,您可以嘗試使用 Systweak Anti Malware。
- 注意您授予的權限。 如果您認為它們對應用程序的運行不重要,請避免授予它們。 總是問這樣的問題,這個應用程序需要這些權限嗎? 授予這些權限有什麼幫助?
- 當您計劃使用 SMS 消息應用程序時,請問您是否使用該應用程序? 如果是,請嘗試使用 Telegram 和其他端到端加密應用程序,因為它們可靠且使用安全。
- 閱讀警報,因為它們揭示了很多信息。 如果您不確定是否有任何權限,請完全卸載該應用程序。
另請閱讀:保護您的 Android 設備的一站式解決方案
小丑惡意軟件 - 保持安全和受到保護
Joker Malware 旨在感染 Android 應用程序,它是智能的,它確保 Google 無法檢測到它。 這就是為什麼即使谷歌知道它並不斷刪除受感染的應用程序,它也會以新技術重新出現並感染更多應用程序。 保持保護的唯一方法是注意和謹慎。
使用像 Systweak Anti Malware 這樣的防病毒應用程序肯定會增加額外的安全層,但您需要小心您授予的權限。
小丑惡意軟件很聰明,它已經感染了成千上萬的受害者。 但是,按照說明的提示操作,您可以得到保護。
我們希望您會關注他們,並儘量不要陷入這種可怕的惡意軟件的魔掌。 如果您發現這些信息有幫助,請與他人分享。 如果您有什麼要補充的,請在評論框中分享您的建議。