摘要
Joker 是运行在Android操作系统上的恶意程序,主要用于窃取用户的隐私数据。最近研究人员发现了Joker的一个变种,该变种可以在受害者不知情的情况下订阅攻击者的付费服务,使其遭受财产损失。
最初该变种被发现于谷歌应用商店上,表面上看它是一个普通的二维码扫描器程序,但当用户在使用其正常功能的过程中,它会在后台下载额外的恶意软件到设备上窃取用户数据,并偷偷为用户订阅攻击者提供的付费服务。
图 1 Google Play 商店中可下载的应用程序
尽管谷歌迅速从应用商店中删除了这个应用程序,但它已经被用户下载安装了 500 多次。值得注意的是,攻击者对应用程序和有效载荷进行轻微的修改后,又再次逃避了谷歌商店对恶意应用程序的检测。
图 2 应用程序被Google Play Store移除
技术分析
恶意程序基本信息
应用名称: QR Scanner Free
应用包名: com.yanto.mo.codescan
应用Hash:
a18508d9047fe87da2bf14211c3f31c5ad48277348eb5011fdfed4dd7dac13d52
权限列表:
android.permission.READ_PHONE_STATE 读取设备信息android.permission.CAMERA 使用摄像头android.permission.ACCESS_COARSE_LOCATION 获取粗粒度位置信息android.permission.CALL_PHONE 拨打电话android.permission.CHANGE_WIFI_STATE 更改 wifi 状态android.permission.READ_CONTACTS 读取联系人android.permission.INTERNET 互联网访问android.permission.WRITE_EXTERNAL_STORAGE 外部存储写入
Activity列表:
qr.barcode.scanner.activity.SplashActivityqr.barcode.scanner.activity.MainActivityqr.barcode.scanner.activity.ResultActivityqr.barcode.scanner.activity.CreateActivityqr.barcode.scanner.activity.FeedbackActivityqr.barcode.scanner.activity.WebviewActivityqr.barcode.scanner.activity.AboutActivity
service列表:
q.bcom.google.android.gms.ads.AdServiceandroidx.work.impl.background.systemalarm.SystemAlarmServiceandroidx.work.impl.background.systemjob.SystemJobServiceandroidx.room.MultiInstanceInvalidationService
恶意程序主要执行流程分析
图 3 恶意程序主要执行流程
图 4 恶意程序启动初始化
onCreate方法进一步调用了a类中的a方法, 该方法下载了图3中提到的名为“huadi”的DEX文件。
短网址: “hxxps://zws.im/??????????????”
图 5 启动后下载"huadi"文件
图 6 加载“huadi”中的“XX00”类,并执行"jarico"方法
图 7 下载”hd.ai”文件,并加载”Ferry”类
图 8 “Ferry”类的 ”tayle“方法下载”notice.ai“文件进一步分析发现,“Ferry”还具有拦截受害者设备中所有通知的能力。它可以通过系统中的通知监听服务, 读取所有的短信和其他系统通知,然后在用户不知情的情况下私自将通知取消。
图9 “Ferry”读取系统通知而“notice.ai”中的“Cantin”类则通过系统的 BroadcastReceiver 收集“Ferry”获取的所有通知内容,并对其进行持久化存储等操作。
图 10 ”Cantin“类收集并存储短信数据
该程序使用WAP计费服务中的通用加密技术,在用到的数据中插入了一些随机字符串来逃避检测。
程序中包含了一系列WAP付费服务的订阅地址,这种服务通过网站提供付费内容,用户订阅后相关费用会从手机话费中直接扣除。该恶意程序会暗地里订阅攻击者提供的付费服务,从而可以通过运营商按日、周或月向用户收取费用。另外该应用程序还可以根据设备连接到的网络运营商选择不同的订阅地址,下图显示了针对泰国某运营商的一条订阅地址。
建议
-
保持防病毒软件更新,以检测最新的恶意软件
-
如果在设备中发现这个恶意软件,请立即卸载
-
保持系统和应用程序更新到最新版本
-
使用强密码并启用双因素身份验证
-
只从可信任的网站和官方应用商店下载和安装软件
-
在授予应用程序访问权限之前,检查其是否请求敏感权限
MITRE ATT&CK 技术矩阵-移动版
|
Tactic |
技术 ID |
技术名称 |
|
Defense Evasion |
T1406 |
文件或信息混淆 |
|
Credential Access |
T1409 |
访问应用数据 |
|
Collection |
T1507 T1430 T1409 |
网络信息收集 位置信息收集 访问应用数据 |
|
Credential Access |
T1409 |
访问应用数据 |
|
Discovery |
T1421 T1422 T1430 T1426 |
系统网络连接收集 系统网络配置收集 位置信息收集 系统信息收收集 |
|
Impact |
T1472 T1447 |
虚假广告生成 删除设备数据 |
IOC列表
|
IOCs |
IOC 类型 |
|
a18508d9047fe87da2bf14211c3f31c5ad48277348eb5011fdfe4dd7dac13d52 |
SHA256 |
|
0840f6feef265393c929ac61e0b1b04faa3999e1ae5655fd332ec674be2661a0 |
SHA256 |
|
f772532dc7b83242e54cfec2bf740f12c13b1f2fce9da188da19b6df55da4fab |
SHA256 |
|
3aac23064f58f32f8cd345b9455be3d638f5ae8658bbc6badcedcb111b002572 |
SHA256 |
|
hxxp://onemoretime.oss-us-east-1.aliyuncs.com/notice.ai |
URL |
|
hxxp://onemoretime.oss-us-east-1.aliyuncs.com/hd.ai |
URL |
|
hxxp://onemoretime.oss-us-east-1.aliyuncs.com/huadi |
URL |
|
hxxp://161.117.46.64/svhyqj/mjcxzy |
URL |
|
hxxp://161.117.46.64/svhyqj/bwytmw |
URL |
|
161.117.46[.]64 |
IP 地址 |
end
本文始发于微信公众号(国家网络威胁情报共享开放平台):Joker 恶意软件伪装成二维码扫描App在谷歌应用商店传播
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论