Aplicaciones de la tienda Google Play enlazadas con el malware Joker una vez más


Durante los últimos tres años, Joker Trojan se ha abierto camino en Google Play Store. Quick Heal Security Labs detectó recientemente el malware 8 Joker en Google Play Store y lo informó a Google, que ahora ha eliminado todas las aplicaciones.

Fig.1 Capturas de pantalla de aplicaciones de Google Play Store

Joker es un troyano de software espía que roba el dispositivo de la víctima, como mensajes SMS, lista de contactos e información del dispositivo. Luego, interactúa silenciosamente con los sitios web de publicidad y suscribe a la víctima a servicios premium sin su conocimiento. En enero, informamos a Google sobre muestras similares y publicamos un blog sobre las mismas.

Veamos el funcionamiento de una de las aplicaciones.

  • Nombre de la aplicación: Element Scanner
  • Nombre del desarrollador: Obrien Connie
  • Recuento de descargas: 10K +

En el lanzamiento, esta aplicación solicita acceso a notificaciones, que se utiliza para obtener datos de notificación. Esta aplicación toma datos de SMS de la notificación, solicita acceso a Contactos y hace y administra permisos de llamadas telefónicas. Después de eso, funciona como una aplicación de escáner de documentos sin mostrar ninguna actividad maliciosa visible al usuario.

Fig.2 Permisos solicitados por la aplicación

Pero en segundo plano, descarga dos cargas útiles, una tras otra. La primera carga útil se descarga desde un enlace URL corto de Bitly, que está presente en la aplicación original de Google Play Store. Ver fig. 3 Esta aplicación tiene el enlace "h ** p: // bit (.) Ly ​​/ 3hT17RL". Luego, esta carga útil descarga aún más la siguiente carga útil del enlace: "h ** p: // skullali (.) Oss-me-east 1 (.) Aliyuncs.com/realease.mp3". Esta carga útil no es más que un malware malicioso bromista.

Fig.3 Flujo de descarga de la carga útil

Esta carga útil final libera el archivo .mp3, que contiene el código para el acceso a las notificaciones (Ref. Fig. 4), y el onReceive método (Ref. Fig. 5), que recopila los datos SMS recibidos.

Fig.4 Código de acceso a notificaciones

Fig.5 Implementación del método onReceive

También comprueba el código de país del proveedor de SIM. Si este código comienza con "520", es decir, si el país del proveedor de Sim es Tailandia, suscribe al usuario a servicios premium como se muestra en la Figura 5.

Higo.6 Código de suscripción

Los autores de malware difunden estas aplicaciones de malware en Google Play Store en aplicaciones de escáner, aplicaciones de papel tapiz y aplicaciones de mensajes. Este tipo de aplicaciones pueden convertirse rápidamente en un objetivo. Los usuarios deben tratar de evitar dichas aplicaciones y utilizar este tipo de aplicaciones solo de desarrolladores de confianza.

COI:

MD5 Nombre de detección
05710c8525f31535eb7338653429b1fa Android.Joker.Aad66
9add1126cd52900c06ce4fe58ffc5f25 Android.Jocker.Abd79
4705ce82dd8a969139f07b9576715dca Android.Agent.Aed3f
17c9de7d2a62fb0ed640fd2a348d6ffd Android.Joker.Af409
e4caf7c6a04139326d34bdb9b7282b00 Android.Agent.Aec9e
6b11d98e9713b3f3a53e201394c1247b Android.Joker.Af408
995caba3370a6df5e73790d3461811e9 Android.Joker.Af406
dfe73757188ebe9d10aded37b349400b Android.Joker.Af407

Servidor C2:

  • hxxp: // buckts (.) oss-me-east-1 (.) aliyuncs (.) com
  • hxxp: // wter (.) oss-us-east-1 (.) aliyuncs (.) com /
  • hxxp: // skullali (.) oss-us-east-1 (.) aliyuncs (.) com /
  • hxxp: //161.117.46.64/svhyqj/mjcxzy
  • hxxp: // suanleba (.) oss-us-west-1 (.) aliyuncs (.) com
  • hxxps: // nuevo-sk.) oss-ap-sureste-1.) aliyuncs.) com
  • hxxp: // 517-1305586011.) cos.) na-toronto.) myqcloud.) com / b2

Consejos para mantenerse a salvo

  • Descargue aplicaciones solo de fuentes confiables como Google Play Store.
  • Aprenda a identificar aplicaciones falsas en Google Play Store.
  • No haga clic en enlaces extraños recibidos a través de mensajes o cualquier otra plataforma de redes sociales.
  • Desactive la instalación desde la opción de fuente desconocida.
  • Lea los mensajes emergentes que recibe del sistema Android antes de aceptar / permitir nuevos permisos.
  • Los desarrolladores malintencionados falsifican los nombres de las aplicaciones originales y los nombres de los desarrolladores. Por lo tanto, asegúrese de descargar solo aplicaciones simples. A menudo, las descripciones de las aplicaciones contienen errores tipográficos y gramaticales. Consulte el sitio web del desarrollador si hay un enlace disponible en la página web de la aplicación. Evite usarlo si algo se ve extraño o extraño.
  • Las reseñas y calificaciones pueden ser falsas, pero aún así leer las reseñas de los usuarios de la aplicación, y la experiencia de los usuarios existentes puede ser útil. Preste atención a las reseñas con calificaciones bajas.
  • Verifique el recuento de descargas de la aplicación: las aplicaciones populares tienen recuentos de descargas muy altos. Pero tenga en cuenta que algunas aplicaciones falsas se han descargado miles o incluso millones de veces antes de ser descubiertas.
  • Evite descargar aplicaciones de tiendas de aplicaciones de terceros o enlaces proporcionados en SMS, correos electrónicos o mensajes de WhatsApp. Además, evite instalar aplicaciones que se descargan después de hacer clic en un anuncio.
  • Utilice un antivirus confiable como Quick Heal Mobile Security para mantenerse a salvo del malware de Android.

Melena de Digvijay

Melena de Digvijay