محققان امنیتی از تیم تحقیقاتی Zscaler ThreatLabZ بارگذاری منظم فایلهای آلوده به بدافزار را در فروشگاه Google Play شناسایی کردهاند.
پایگاه اینترنتی gbhackers نوشت: تحلیلگران امنیت اطلاعات با بررسی این آلودگی دریافتند که جوکر با سه شیوه به دستگاههای اندرویدی نفوذ می کند و Payloadهای نهایی که دانلود میشوند حاوی بدافزار Joker هستند که از کد رمزگذاری DES برای اجرای فعالیتهای C&C استفاده میکند.
بدافزار جوکر با فعال شدن در دستگاههای اندرویدی، پیامهای SMS آنها را به همراه لیستهای تماس کاربران اندروید به سرقت میبرد.
در شیوه نخست، برنامه مخرب URL C&C را برای دانلود مستقیم در برنامه جاسازی کرده و پس از نصب برنامه مخرب، برای دانلود با سرور C&C تماس میگیرد.
در شیوهای دیگر برنامههای مخرب، stager payload را اضافه میکنند. وظیفه این stager payload این است که به راحتی payload URL نهایی را از کد بازیابی کرده و سپس دانلود و اجرا میکند.
برنامههای آلوده همچنین برای دانلود payload آلوده نهایی، ابتدا payload را از برنامه آلوده Google Play دانلود میکنند و در نهایت payload نهایی بدافزار Joker را دانلود میکند.
در سپتامبر امسال، ۱۷ نمونه مختلف برنامه آلوده شناسایی شدند که به طور منظم در Google Play بارگذاری میشدهاند و حدود ۱۲۰ هزار دانلود برای برنامههای مخرب نیز انجام شده است.
برخی از برنامههایی که بدافزار جوکر را به دستگاههای اندرویدی منتقل کرده اند به این شرح هستند:
All Good PDF Scanner
Mint Leaf Message-Your Private Message
Unique Keyboard – Fancy Fonts & Free Emoticons
Tangram App Lock
Direct Messenger
Private SMS
One Sentence Translator – Multifunctional Translator
Style Photo Collage
Meticulous Scanner
Desire Translate
Talent Photo Editor – Blur focus
Care Message
Part Message
Paper Doc Scanner
Blue Scanner
Hummingbird PDF Converter – Photo to PDF
کارشناسان معاونت بررسی مرکز مدیریت افتای ریاست جمهوری به کاربران توصیه میکنند تا مجوز برنامههایی را که نصب میکنند، به خوبی بررسی کنند.