برنامه های فروشگاه Google Play دوباره به بدافزار Joker گره خورده اند


طی سه سال گذشته ، Joker Trojan به فروشگاه Google Play راه پیدا کرده است. آزمایشگاه های امنیتی Quick Heal اخیراً 8 بدافزار Joker را در فروشگاه Google Play مشاهده کرده و آن را به گوگل گزارش دادند که قبلاً همه برنامه ها را حذف کرده است.

شکل. 1 عکس از صفحه برنامه های فروشگاه Google Play

جوکر یک اسب تروای جاسوسی است که دستگاه قربانی مانند پیام های کوتاه ، لیست تماس و اطلاعات دستگاه را می دزدد. وی سپس در سکوت با وب سایت های تبلیغاتی ارتباط برقرار کرد و بدون اطلاع آنها در خدمات درجه یک قربانی مشترک شد. در ژانویه ، نمونه های مشابهی را به گوگل اعلام کردیم و وبلاگی در مورد آنها منتشر کردیم.

بیایید کار یکی از برنامه ها را ببینیم –

  • نام برنامه: Element Scanner
  • نام برنامه نویس: Obrien Connie
  • تعداد بارگیری: 10K+

هنگام راه اندازی ، این برنامه درخواست دسترسی به اعلان ها را دارد ، که برای دریافت داده های اعلان استفاده می شود. این برنامه داده های پیامکی را از یک اعلان می گیرد ، دسترسی به مخاطبین را درخواست می کند و اجازه تماس تلفنی را ایجاد و مدیریت می کند. سپس بدون نمایش فعالیت مخرب کاربر ، به عنوان یک برنامه اسکنر اسناد کار می کند.

شکل. 2 مجوزهای درخواست شده توسط برنامه

اما در پس زمینه ، دو محموله را یکی پس از دیگری می کشد. بار اول از پیوند کوتاه URL Bitly بارگیری می شود ، که در برنامه اصلی از فروشگاه Google Play موجود است. به شکل مراجعه کنید. 3 این برنامه دارای پیوند “h ** p: // bit” است[.]ly / 3hT17RL ”. سپس این محموله بار بعدی را از لینک بارگیری می کند – “h ** p: // skullali[.]oss-me-east 1[.]aliyuncs.com/realease.mp3 ”. این محموله چیزی جز بدافزار نیست.

شکل. 3 جریان بارگیری محموله

این آخرین بار برای بارگذاری فایل .mp3 که شامل کد دسترسی برای اعلان ها است (شکل 4 را ببینید) و فایل دریافت روش (نگاه کنید به شکل 5) ، که داده های پیامکی دریافت شده را جمع آوری می کند.

شکل. 4 کد دسترسی به اعلان ها

شکل. 5 روش onReceive را اعمال کنید

همچنین کد کشور ارائه دهنده سیم کارت را بررسی می کند. اگر این کد با “520” شروع شود ، یعنی. اگر کشور تأمین کنندگان سیم تایلند باشد ، همانطور که در شکل 5 نشان داده شده است ، کاربر را برای خدمات درجه یک مشترک می کند.

شکل.6 کد اشتراک

نویسندگان بدافزار این برنامه های مخرب را در Google Play Store در برنامه های اسکنر ، برنامه های تصویر زمینه ، برنامه های پیام رسانی توزیع می کنند. این نوع برنامه ها می توانند به سرعت به یک هدف تبدیل شوند. کاربران باید سعی کنند از چنین برنامه هایی خودداری کنند و فقط توسط توسعه دهندگان معتمد از چنین برنامه هایی استفاده کنند.

IOC:

MD5 نام دهانه
05710c8525f31535eb7338653429b1fa Android.Joker.Aad66
9add1126cd52900c06ce4fe58ffc5f25 Android.Jocker.Abd79
4705ce82dd8a969139f07b9576715dca Android.Agent.Aed3f
17c9de7d2a62fb0ed640fd2a348d6ffd Android.Joker.Af409
e4caf7c6a04139326d34bdb9b7282b00 Android.Agent.Aec9e
6b11d98e9713b3f3a53e201394c1247b Android.Joker.Af408
995caba3370a6df5e73790d3461811e9 Android.Joker.Af406
dfe73757188ebe9d10aded37b349400b Android.Joker.Af407

سرور C2:

  • hxxp: // سطل ها[.]oss-me-east-1[.]aliyuncs[.]s
  • hxxp: // wter[.]oss-us-east-1[.]aliyuncs[.]با /
  • hxxp: // skullali[.]oss-us-east-1[.]aliyuncs[.]با /
  • hxxp: //161.117.46.64/svhyqj/mjcxzy
  • hxxp: // suanleba[.]oss-us-west-1[.]aliyuncs[.]s
  • hxxps: // new-sk.]oss-ap-s جنوب شرقی-1.]aliyuncs.]com
  • hxxp: // 517-1305586011.]cos.]na-toronto.]myqcloud.]com / b2

نکات ایمنی

  • برنامه ها را فقط از منابع معتبر مانند Google Play Store بارگیری کنید.
  • با نحوه شناسایی برنامه های جعلی در فروشگاه Google Play آشنا شوید.
  • روی پیوندهای دیگران که از طریق پیام ها یا سایر سیستم عامل های رسانه های اجتماعی دریافت می شوند کلیک نکنید.
  • نصب را از گزینه منبع ناشناخته جدا کنید.
  • قبل از پذیرش / اجازه دادن به مجوزهای جدید ، پیام های پاپاپی را که از Android دریافت می کنید بخوانید.
  • توسعه دهندگان مخرب نام اصلی برنامه و نام برنامه نویس را جعل می کنند. بنابراین ، مطمئن شوید که فقط برنامه های ساده را بارگیری کرده اید. توصیفات برنامه اغلب حاوی غلط های املایی و دستوری است. اگر پیوندی در صفحه وب برنامه وجود دارد ، وب سایت توسعه دهنده را بررسی کنید. اگر چیزی عجیب یا عجیب به نظر می رسد از استفاده از آن خودداری کنید.
  • بازبینی ها و رتبه بندی ها ممکن است جعلی باشد ، اما با این حال خواندن نظرات کاربران درباره برنامه و تجربه کاربران موجود می تواند مفید باشد. به بررسی های دارای رتبه پایین توجه کنید.
  • تعداد بارگیری برنامه را بررسی کنید – برنامه های محبوب تعداد بارگیری بسیار بالایی دارند. اما به خاطر داشته باشید که برخی از برنامه های جعلی هزاران یا حتی میلیون ها بار قبل از شناسایی بارگیری می شوند.
  • از بارگیری برنامه ها از فروشگاه های برنامه شخص ثالث یا پیوندهای ارائه شده در پیام کوتاه ، ایمیل یا پیام WhatsApp خودداری کنید. همچنین از نصب برنامه هایی که پس از کلیک بر روی آگهی بارگیری می شوند خودداری کنید.
  • برای محافظت از خود در برابر بدافزارهای اندروید ، از یک آنتی ویروس قابل اعتماد مانند Quick Heal Mobile Security استفاده کنید.