Joker恶意软件重返Google play商店|安卓用户请留意

Joker恶意软件重返Google play商店|安卓用户请留意

在过去的三年里,Joker 木马在 Google Play 商店中崭露头角。Quick Heal 安全实验室最近在 Google Play 商店中发现了 8 个 Joker 恶意软件,并将其报告给了谷歌,谷歌现已删除了所有应用程序.

8 个 Joker 恶意软件列表:

  • Auxiliary Message
  • Fast Magic SMS
  • Free CamScanner
  • Super Message
  • Element Scanner
  • Go Messages
  • Travel Wallpapers
  • Super SMS
Joker恶意软件重返Google play商店|安卓用户请留意
图 1 8个携带joker病毒的Google Play Store 应用程序截图

Joker 是一种间谍软件木马,可窃取受害者的设备,如 SMS 消息、联系人列表和设备信息。然后,它悄悄地与广告网站互动,并在受害者不知情的情况下为受害者订阅优质服务。

1 月份,我们向 Google 报告了类似的样本,并在其上发布了一篇博客

让我们看看其中一个应用程序的工作情况

  • 应用程序名称:Element Scanner
  • 开发商名称:Obrien Connie
  • 下载次数:10K+

在启动时,此应用程序要求通知访问权限,用于获取通知数据。此应用程序从通知中获取 SMS 数据,请求访问联系人,并制作和管理电话权限。之后,它就像一个文档扫描仪应用程序一样工作,不会向用户显示任何可见的恶意活动。

Joker恶意软件重返Google play商店|安卓用户请留意
图 2 应用程序请求的权限

但是在后台,它会一个接一个地下载两个有效负载(payloads)。

第一个有效负载是从 Bitly 短 URL 链接下载的,该链接存在于 Google Play 商店的原始应用程序中,见图3

此应用程序具有链接“httpp://bit.ly/3hT17RL”。

然后这个payload从链接中进一步下载下一个payload——“

httpp://skullali.oss-me-east 1.aliyuncs.com/realease.mp3[阿里云的oss]

此有效负载只不过是恶意的小丑恶意软件。

Joker恶意软件重返Google play商店|安卓用户请留意
图 3 Payload 下载流程

这个最终有效载荷释放 .mp3 文件,其中包含通知访问代码(参考图 4)和onReceive方法(参考图 5),它收集接收到的 SMS 数据。

Joker恶意软件重返Google play商店|安卓用户请留意
图 4 通知访问代码 
Joker恶意软件重返Google play商店|安卓用户请留意
图 5 onReceive 方法的实现

它还会检查 SIM 提供商的国家/地区代码。如果此代码以“520”开头,即如果 Sim 提供商的国家是泰国,则它为用户订阅了如图 5 所示的优质服务。

Joker恶意软件重返Google play商店|安卓用户请留意

恶意软件作者在 Google Play 商店中以扫描仪应用程序、壁纸应用程序、消息应用程序的形式传播这些恶意软件应用程序。这些类型的应用程序可以很快成为目标。用户应尽量避免使用此类应用程序,并仅使用来自受信任开发人员的此类应用程序。

IOC:[侵害指标]

MD5 检测名称
05710c8525f31535eb7338653429b1fa Android.Joker.Aad66 
9add1126cd52900c06ce4fe58ffc5f25 Android.Jocker.Abd79 
4705ce82dd8a969139f07b9576715dca Android.Agent.Aed3f 
17c9de7d2a62fb0ed640fd2a348d6ffd Android.Joker.Af409 
e4caf7c6a04139326d34bdb9b7282b00 Android.Agent.Aec9e 
6b11d98e9713b3f3a53e201394c1247b Android.Joker.Af408 
995caba3370a6df5e73790d3461811e9 Android.Joker.Af406 
dfe73757188ebe9d10aded37b349400b Android.Joker.Af407 

攻击者的C2服务器:

hxxp://buckts.oss-me-east-1.aliyuncs.com
hxxp://wter.oss-us-east-1.aliyuncs.com/
hxxp://skullali.oss-us-east-1.aliyuncs.com/
hxxp://161.117.46.64/svhyqj/mjcxzy
hxxp://suanleba.oss-us-west-1.aliyuncs.com
hxxps://new-sk.oss-ap-southeast-1.aliyuncs.com
hxxp://517-1305586011.cos.na-toronto.myqcloud.com/b2
Joker恶意软件重返Google play商店|安卓用户请留意

保持安全的提示

  • 仅从受信任的来源(如 Google Play 商店)下载应用程序。
  • 了解如何识别 Google Play 商店中的虚假应用程序。
  • 不要点击通过消息或任何其他社交媒体平台收到的外星人链接。
  • 关闭从未知来源选项安装。
  • 在接受/允许任何新权限之前阅读您从 Android 系统收到的弹出消息。
  • 恶意开发人员伪造原始应用程序名称和开发人员名称。因此,请确保您只下载简单的应用程序。应用程序描述通常包含拼写错误和语法错误。如果应用程序的网页上有可用链接,请检查开发者的网站。如果有任何东西看起来奇怪或奇怪,请避免使用它。
  • 评论和评级可能是假的,但仍会阅读用户对应用程序的评论,现有用户的体验可能会有所帮助。注意低评分的评论。
  • 检查应用程序的下载计数——流行应用程序的下载计数非常高。但请注意,某些虚假应用程序在被发现之前已被下载数千甚至数百万次。
  • 避免从第三方应用商店或短信、电子邮件或 WhatsApp 消息中提供的链接下载应用程序。此外,避免安装点击广告后下载的应用程序。
  • 使用 Quick Heal Mobile Security 等值得信赖的防病毒软件来保护 Android 恶意软件的安全。
Joker恶意软件重返Google play商店|安卓用户请留意

from

Leave a Reply

您的电子邮箱地址不会被公开。