بدافزار «جوکر»دوباره آمد
مرکز افتا نسبت به فعالیت مجدد بدافزار «جوکر» که یکی از بزرگترین خانواده های بدافزارهای اندرویدی محسوب می شود هشدار داد و اعلام کرد: این بدافزار SMS و لیست تماس کاربران را سرقت می کند.
به گزارش معاونت بررسی مرکز افتا، جوکر (Joker Malware) یکی از بزرگترین خانوادههای بدافزار است که به طور مداوم دستگاههای Android را هدف قرار میدهد. این بدافزار با ایجاد تغییر کد، روشهای اجرایی یا تکنیکهای بازیابی محموله، بار دیگر در گوگل پلی (Google play) ظاهر شده است.
محققان امنیتی تیم تحقیقاتی Zscaler ThreatLabZ بارگذاری منظم فایلهای آلوده به بدافزار را در فروشگاه Google Play شناسایی کردهاند.
این امر باعث شد تا چگونگی دستیابی موفقیتآمیز جوکر به فرآیند ورود به Google Play مورد ارزیابی قرار گیرد.
در سپتامبر امسال، ۱۷ نمونه مختلف برنامه آلوده که به طور منظم در Google Play بارگذاری میشده، مورد شناسایی قرار گرفته و حدود ۱۲۰ هزار دانلود برای برنامههای مخرب انجام شده است.
محققان سه سناریوی مختلف در این آلودگی را بررسی کردند:
سناریو اول: برنامه مخرب URL C&C را برای دانلود مستقیم در برنامه جاسازی کرده و پس از نصب برنامه مخرب، برای دانلود با سرور C&C تماس میگیرد.
سناریو دوم: برنامههای مخرب stager payload را اضافه میکنند. وظیفه این stager payload این است که به راحتی payload URL نهایی را از کد بازیابی کرده و سپس دانلود و اجرا میکند.
سناریو سوم: برنامههای آلوده برای دانلود payload نهایی، payload دو مرحلهای دارند. برنامه آلوده Google Play مرحله اول payload را دانلود میکند که سپس مرحله دوم payload هم دانلود شده و در نهایت payload نهایی Joker را دانلود میکند.
در تمام سناریوها، Payload نهایی که دانلود میشود بدافزار Joker است و از کد رمزگذاری DES برای اجرای فعالیتهای C&C استفاده میکند.
به کاربران توصیه میشود که مجوز برنامههایی که نصب میکنند را به خوبی بررسی کنند.
لیست نمونههایی از این برنامههای مخرب در سایت مرکز مدیریت راهبردی افتای ریاست جمهوری آمده است.