¡Manténgase alerta, Joker todavía se abre camino en Google Play Store! ¡Manténgase alerta, Joker todavía se abre camino en Google Play Store!


Recientemente encontramos 2 aplicaciones maliciosas de la familia Joker en Google Play Store; la compañía se apresuró a eliminar estas aplicaciones maliciosas de su tienda según nuestro informe. Estas dos aplicaciones, a saber "Escáner QR fácil"Y"Traductor gratuito”Tienen más de 10.000 instalaciones cada uno.

Fig.1 Iconos de aplicaciones

Fig.1 Iconos de aplicaciones

¿Qué es Joker Malware?

Joker es un software espía que roba los mensajes SMS de la víctima, la lista de contactos y la información del dispositivo. Interactúa silenciosamente con sitios web publicitarios y suscribe a la víctima a servicios premium sin su conocimiento. El nombre "Joker" se toma de uno de los dominios C&C de muestras encontradas anteriormente.

Desde su inicio, el malware de la familia Joker continuó encontrando su camino en Google Play Store utilizando diferentes trucos. En enero del año pasado, Google informó sobre la eliminación de más de 1700 aplicaciones de malware Joker, aunque muchos investigadores continuaron encontrando aplicaciones manipuladas con el software espía. Esto se debe a que los autores de malware continúan haciendo pequeños cambios en su código o en las técnicas de recuperación de carga útil para evadir las detecciones.

Aquí está nuestro análisis de Escáner QR fácil Solicitud –

En el lanzamiento, esta aplicación solicita el permiso de acceso al almacenamiento, la cámara y los contactos, seguido de una solicitud para acceder a las notificaciones. A continuación, abre la cámara para escanear; si escaneamos el código QR desde esta aplicación, abre la URL incrustada, p. Ej. En la Fig. 2, vea el código QR escaneado y su resultado.

Fig.2 Funcionalidad de la aplicación

Fig.2 Funcionalidad de la aplicación

La aplicación parece útil por ahora, pero realiza la actividad maliciosa en segundo plano sin el conocimiento del usuario.

Fig.3 Paquetes de aplicaciones y cargas útiles

Fig.3 Paquetes de aplicaciones y cargas útiles

La figura 3 muestra los paquetes de la aplicación Easy QR Scanner y sus cargas útiles descargadas. En esta aplicación, se descargan tres cargas útiles diferentes una tras otra. Las aplicaciones originales han utilizado el empaquetador Tencent para ocultar su funcionalidad de descarga de carga útil maliciosa. En tiempo de ejecución, descomprime esta aplicación y descarga la carga útil de la primera etapa.

Carga útil de la primera etapa, xiwa.doc, se descarga de C&C jordi.oss-us-east-1.aliyuncs.com

Fig.4 Tres cargas útiles descargadas en tres solicitudes consecutivas.

Fig.4 Tres cargas útiles descargadas en tres solicitudes consecutivas.

Aquí está la primera entrada del registro de red para la aplicación "Easy QR Scanner"

"Entrada": 1,

"Aplicación": "Easy QR Scanner",

"Nombre del paquete de la aplicación": "com.easyqr.scannertool",

"Solicitar URL": "http://jordi.oss-us-east-1.aliyuncs.com/closer/xiwa.doc",

"Método de solicitud": "OBTENER",

"Versión": "HTTP / 1.1",

"Código de estado": "200 OK",

"Dirección remota": "47.253.30.162",

"Dominio": "jordi.oss-us-east-1.aliyuncs.com",

"Tipo de contenido": "aplicación / msword",

"Puerto": "443",

"SSL": nulo

Este archivo, xiwa.doc, contiene código para descargar la carga útil de la siguiente etapa kudo.doc.

Fig.5 Fragmento de código de la carga útil de la primera etapa

Fig.5 Fragmento de código de la carga útil de la primera etapa

Esta carga útil de la segunda etapa contiene el código para verificar el código del operador de Sim y el código para solicitar acceso a las notificaciones. Se puede acceder al código de operador SIM usando getSimOperator método, que devuelve (código de país móvil + código de red móvil). También tiene código para descargar 3rd y carga útil de la etapa final – más cerca.doc.

Fig.6 Fragmento de código de la carga útil de la segunda etapa

Fig.6 Fragmento de código de la carga útil de la segunda etapa

Carga útil de la etapa final – más cercano.doc

Esta es la última carga útil maliciosa responsable del comportamiento de Joker. A continuación se muestra un fragmento de código que muestra el método onReceive de BroadcastReceiver: recopila los datos de los mensajes recibidos.

Fig 7. Fragmento de código de la recopilación de SMS recibidos

Fig 7. Fragmento de código de la recopilación de SMS recibidos

La ofuscación de cadenas se utiliza para evitar detecciones de firmas basadas en patrones.

Fig.8 Ofuscación de cuerdas

Fig.8 Ofuscación de cuerdas

Como se muestra en la Fig. 9, primero verifica el código de Operador de Sim y luego visita un sitio para suscribirse a un servicio premium. Luego solicita la OTP y envía la OTP recibida sin el conocimiento o consentimiento del usuario.

Fig. 9 Suscripción a servicios premium.

Fig. 9 Suscripción a servicios premium.

Este tipo de técnicas (por ejemplo, el código malicioso se encuentra dentro del 3rd stage payload) utilizado por los autores de malware para evitar los controles de seguridad de Google.

Otra aplicación que encontramos (Free Translator) tiene un comportamiento similar. Estas aplicaciones parecen benignas pero realizan actividades maliciosas en segundo plano, por lo que el usuario debe evitar descargar este tipo de aplicaciones e intentar utilizar aplicaciones de desarrolladores confiables únicamente.

Consejos para mantenerse seguro

1.Descargue aplicaciones solo de fuentes confiables como Google Play Store.

2. Aprenda a identificar aplicaciones falsas en Google Play Store.

3. No haga clic en enlaces extraños recibidos a través de mensajes o cualquier otra plataforma de redes sociales.

4. Desactive la opción de instalación desde una fuente desconocida.

5. Lee los mensajes emergentes que recibes del sistema Android antes de aceptar / permitir nuevos permisos.

Los desarrolladores maliciosos falsifican los nombres de las aplicaciones originales y los nombres de los desarrolladores. Por lo tanto, asegúrese de descargar solo aplicaciones originales. A menudo, las descripciones de las aplicaciones contienen errores tipográficos y gramaticales. Consulte el sitio web del desarrollador si hay un enlace disponible en la página web de la aplicación. Evite usarlo si algo se ve extraño o extraño.

7.Las reseñas y calificaciones pueden ser falsas, pero leer las reseñas de los usuarios de la aplicación y la experiencia de los usuarios existentes puede ser útil. Preste atención a las reseñas con calificaciones bajas.

8.Compruebe el número de descargas de la aplicación: las aplicaciones populares tienen un número de descargas muy alto. Pero tenga en cuenta que algunas aplicaciones falsas se han descargado miles o incluso millones de veces antes de ser descubiertas.

9. Evite descargar aplicaciones de tiendas de aplicaciones de terceros o enlaces proporcionados en SMS, correos electrónicos o mensajes de WhatsApp. Además, evite instalar aplicaciones que se descargan después de hacer clic en un anuncio.

10.Utilice un antivirus confiable como Quick Heal Mobile Security para mantenerse a salvo del malware de Android.

COI:

MD5: 3bbf45eab9796a2781e640393fae7423

MD5: f733cfe88fc4089523a634675f808100

URL de carga útil:

hxxp: // jordi (.) oss-us-east-1 (.) aliyuncs.com/closer/xiwa.doc

hxxp: // jordi (.) oss-us-east-1 (.) aliyuncs.com/closer/kubo.doc

hxxp: // jordi (.) oss-us-east-1 (.) aliyuncs.com/closer/closer.doc

hxxp: // feeli (.) oss-us-east-1 (.) aliyuncs.com/feel/kouj.asx

hxxp: // feeli (.) oss-us-east-1 (.) aliyuncs.com/feel/gechagn.asx

hxxp: // feeli (.) oss-us-east-1 (.) aliyuncs.com/feel/feel.asx

C&C final

47 (.) 241 (.) 106 (.) 26

Melena de Digvijay

Melena de Digvijay