Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

  • A+
所属分类:安全漏洞
Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

摘要

Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播


Joker 是运行在Android操作系统上的恶意程序,主要用于窃取用户的隐私数据。最近研究人员发现了Joker的一个变种,该变种可以在受害者不知情的情况下订阅攻击者的付费服务,使其遭受财产损失。


最初该变种被发现于谷歌应用商店上,表面上看它是一个普通的二维码扫描器程序,但当用户在使用其正常功能的过程中,它会在后台下载额外的恶意软件到设备上窃取用户数据,并偷偷为用户订阅攻击者提供的付费服务。


Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

图 1 Google Play 商店中可下载的应用程序


尽管谷歌迅速从应用商店中删除了这个应用程序,但它已经被用户下载安装了 500 多次。值得注意的是,攻击者对应用程序和有效载荷进行轻微的修改后,又再次逃避了谷歌商店对恶意应用程序的检测。


Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

图 2 应用程序被Google Play Store移除


Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

技术分析

Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播
恶意程序基本信息

应用名称: QR Scanner Free

应用包名: com.yanto.mo.codescan

应用Hash:

a18508d9047fe87da2bf14211c3f31c5ad48277348eb5011fdfed4dd7dac13d52

权限列表:

android.permission.READ_PHONE_STATE        读取设备信息android.permission.CAMERA                  使用摄像头android.permission.ACCESS_COARSE_LOCATION  获取粗粒度位置信息android.permission.CALL_PHONE              拨打电话android.permission.CHANGE_WIFI_STATE       更改 wifi 状态android.permission.READ_CONTACTS           读取联系人android.permission.INTERNET                互联网访问android.permission.WRITE_EXTERNAL_STORAGE  外部存储写入

Activity列表:

qr.barcode.scanner.activity.SplashActivityqr.barcode.scanner.activity.MainActivityqr.barcode.scanner.activity.ResultActivityqr.barcode.scanner.activity.CreateActivityqr.barcode.scanner.activity.FeedbackActivityqr.barcode.scanner.activity.WebviewActivityqr.barcode.scanner.activity.AboutActivity

service列表:

q.bcom.google.android.gms.ads.AdServiceandroidx.work.impl.background.systemalarm.SystemAlarmServiceandroidx.work.impl.background.systemjob.SystemJobServiceandroidx.room.MultiInstanceInvalidationService


恶意程序主要执行流程分析
Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

图 3 恶意程序主要执行流程

qr.barcode.scanner.ScannerApp类中包含了主要的恶意行为,当用户启动应用程序时,会首先执行此类中的onCreate方法。
Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

图 4 恶意程序启动初始化


onCreate方法进一步调用了a类中的a方法, 该方法下载了图3中提到的名为“huadi”的DEX文件。

短网址: “hxxps://zws.im/??????????????”

实际网址: “hxxp://onemoretime.oss-us-east-1.aliyuncs[.]com/huadi”
Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

图 5 启动后下载"huadi"文件

下载完成后该程序会通过DexClassLoader加载“huadi”中的“XX00”类,并尝试执行它的“jarico”方法。Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

图 6 加载“huadi”中的“XX00”类,并执行"jarico"方法


"jarico"方法会从URL2下载第二个 DEX 文件“hd.ai”,并加载了其中的“Ferry”类。

Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

图 7 下载”hd.ai”文件,并加载”Ferry”类


紧接着“Ferry”的"tayle"方法通过url3 “hxxp://onemoretime.oss-us-east-1.aliyuncs.com/notice.ai”, 下载了第3个DEX文件“notice.ai”,并加载了其中的“com.antume.Cantin类”。
Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播图 8 “Ferry”类的 ”tayle“方法下载”notice.ai“文件

进一步分析发现,“Ferry”还具有拦截受害者设备中所有通知的能力。它可以通过系统中的通知监听服务, 读取所有的短信和其他系统通知,然后在用户不知情的情况下私自将通知取消。

Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播图9 “Ferry”读取系统通知

而“notice.ai”中的“Cantin”类则通过系统的 BroadcastReceiver 收集“Ferry”获取的所有通知内容,并对其进行持久化存储等操作。


Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播图 10 ”Cantin“类收集并存储短信数据

该程序使用WAP计费服务中的通用加密技术,在用到的数据中插入了一些随机字符串来逃避检测。

Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

图 11 字符串加密混淆

程序中包含了一系列WAP付费服务的订阅地址,这种服务通过网站提供付费内容,用户订阅后相关费用会从手机话费中直接扣除。该恶意程序会暗地里订阅攻击者提供的付费服务,从而可以通过运营商按日、周或月向用户收取费用。另外该应用程序还可以根据设备连接到的网络运营商选择不同的订阅地址,下图显示了针对泰国某运营商的一条订阅地址。

Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

图 12 针对泰国用户提供的WAP付费服务


Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

建议

Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播


Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播
  • 保持防病毒软件更新,以检测最新的恶意软件

  • 如果在设备中发现这个恶意软件,请立即卸载

  • 保持系统和应用程序更新到最新版本

  • 使用强密码并启用双因素身份验证

  • 只从可信任的网站和官方应用商店下载和安装软件

  • 在授予应用程序访问权限之前,检查其是否请求敏感权限


Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

MITRE ATT&CK 技术矩阵-移动版

Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

Tactic

技术 ID

技术名称

Defense Evasion

T1406

文件或信息混淆

Credential Access

T1409

访问应用数据

Collection

T1507

T1430

T1409

网络信息收集

位置信息收集

访问应用数据

Credential Access

T1409

访问应用数据

Discovery

T1421

T1422

T1430

T1426


系统网络连接收集

系统网络配置收集

位置信息收集

系统信息收收集


Impact

T1472

T1447

虚假广告生成

删除设备数据


Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

IOC列表

Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播


IOCs

IOC 类型

a18508d9047fe87da2bf14211c3f31c5ad48277348eb5011fdfe4dd7dac13d52

SHA256

0840f6feef265393c929ac61e0b1b04faa3999e1ae5655fd332ec674be2661a0

SHA256

f772532dc7b83242e54cfec2bf740f12c13b1f2fce9da188da19b6df55da4fab

SHA256

3aac23064f58f32f8cd345b9455be3d638f5ae8658bbc6badcedcb111b002572

SHA256

hxxp://onemoretime.oss-us-east-1.aliyuncs.com/notice.ai

URL

hxxp://onemoretime.oss-us-east-1.aliyuncs.com/hd.ai

URL

hxxp://onemoretime.oss-us-east-1.aliyuncs.com/huadi

URL

hxxp://161.117.46.64/svhyqj/mjcxzy

URL

hxxp://161.117.46.64/svhyqj/bwytmw

URL

161.117.46[.]64

IP 地址


end


参考链接:https://blog.cyble.com/2021/07/09/android-app-disguised-as-a-qr-scanner-spreads-joker-variant-trojan/

本文为CNTIC整理,不代表本公众号观点,转载请保留出处与链接。
联系信息进入公众号后点击“论坛信息”可见。

Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播


本文始发于微信公众号(国家网络威胁情报共享开放平台):Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: