首页保安Joker 恶意软件:感染应用程序并避免使用新策略进行爬行

Joker 恶意软件:感染应用程序并避免使用新策略进行爬行

小丑恶意软件 回到 谷歌Play商店 升级以避免检测。 该恶意软件隐藏在 Android 应用程序中。 据研究人员称,它使用新方法 绕过 Google 的申请审核流程。

小丑恶意软件

Joker 移动木马自 2017 年以来一直存在,迄今为止已在常见的合法应用程序中发现,例如应用程序 相机、游戏、信使、照片编辑器、翻译应用程序和壁纸. 安装后,Joker 应用程序会执行 在入侵者控制的订阅服务中注册受害者。 这是一种向受害者收费(订阅付款)的欺诈行为。 这种骗局被称为“羊毛制品“。 恶意应用程序 他们还窃取短信、联系人列表和设备信息. 通常,受害者对额外费用的理解很慢。

另请参阅: Joker 恶意软件再次来袭:立即删除这 8 个 Android 应用

恶意 Joker 应用程序通常会在 Google 的官方商店之外被发现,但已设法绕过 Google Play 商店多次进入 Google Play 商店。 这主要是因为恶意软件开发人员继续对攻击方法进行小的更改。 据其研究人员称 Zimperium, 超过 1.800 个应用程序 Android系统 在过去四年中一直感染 Joker 恶意软件并从 Google Play 商店中删除。

自 1.000 月以来,至少发现了 XNUMX 个新标本。

犯罪分子系统地寻找新的和独特的方法将这种恶意软件带到官方和非官方应用程序商店”,根据 Zimperium 周二发布的一项分析。 ”虽然在这些存储库中不会持续很长时间,但持久性表明移动恶意软件与传统端点恶意软件一样,不会消失,而是会继续修改和向前发展。“。

2020 年底开始出现的最新版本的 Joker 恶意软件的开发人员正在利用 向传统安全工具隐藏有效载荷真实意图的合法开发人员技术。

他们使用它多次这样做 ,一个开源的应用程序开发工具包,由 谷歌 并允许开发人员创建 适用于移动、Web 和桌面平台的本机应用程序,来自单个代码库. 将 Flutter 用于移动应用程序有助于犯罪分子欺骗 Play 商店的保护措施,因为扫描程序发现它不是恶意的。

由于 Flutter,即使是恶意的应用程序代码也会看起来合法和干净,而许多扫描器只查找有错误等的脱节代码”,研究人员解释说。

他的新花样 小丑 恶意软件以避免检测

据分析,小丑的创作者最近采用的另一种反检测技术是其做法 将有效负载嵌入为 .DEX 文件,可以用不同的方式伪装(例如隐藏在图像中)。

另一种新策略包括 使用 URL 缩短器隐藏 C2 地址 和使用一个 用于解密离线有效负载的本机库。

研究人员表示,新样本在安装木马应用程序后采取了额外的预防措施来隐藏它们。

安装成功后,感染 Joker 恶意软件的应用程序将使用 Google Play API 进行扫描,以在 Google Play 商店中检查该应用程序的最新版本”,研究人员解释说。 ”如果商店中的版本比当前版本旧,则本地恶意软件负载正在运行,从而感染移动设备。 如果商店中的版本比当前版本新,则联系 C2 下载有效负载的更新“。

另请参阅: Google Play 商店:增强开发者验证以防止诈骗

小丑游戏商店

受 Joker 感染的应用程序在设法进入 Play 商店时会带来风险,但也会进入 其他应用商店,例如 AppGallery (华为安卓官方应用商店)。 最近发现了包含 Joker 恶意软件的应用程序。 据说 超过 538.000 台设备 已经下载了恶意应用程序。

另见: 小丑恶意软件:感染了超过500.000台华为Android设备!

好消息是唯一的缺点是财务上的,可能是暂时的。 由于此恶意软件而订阅了高级服务的用户可以要求为这些服务退款。

Ο 乔什·博尔斯Inkscreen 的首席执行官兼创始人在今年早些时候指出, Joker 不仅是普通用户的问题,也是公司的问题,因为个人设备通常用于商业目的。

资料来源:Threatpost

数字要塞https://www.secnews.gr
追求梦想与生活!
现货图片

实时新闻