来源: 时间:2023-01-26 16:35:11
去年年底,我们看到小丑恶意软件浮出水面,并像野火一样蔓延。Check point研究人员的最新报告在Google play商店中发现了Joker Dropper和premium Dialer间谍软件的新变体。这些被发现隐藏在看似合法的应用程序中。此新更新的Joker恶意软件可以将其他恶意软件下载到设备,从而使受害者在未经其同意的情况下订阅了许多高级服务。
同时,Google已从play商店中删除了11个感染了臭名昭著的Joker恶意软件的应用程序。这些应用程序包括com.Imagepress.android,com.relaxation.androidsms,com.cheery.message.sendsms (两个不同的实例),com.peason.lovinglovemessage,com.contact.withme.texts,com.hmvoice.friendsms,com.file.recovefiles,com.Lplocker.lockapps,com.remindme.alram和com.training.memorygame.
研究人员表示,通过对其代码进行少量更改,Joker恶意软件可以克服play商店的安全和审查障碍。这次,Joker恶意软件采用了传统pC威胁环境中的旧技术,以避免被Google检测到。新修改的Joker病毒使用两个主要组件来订阅,应用程序用户可以使用高级服务。这些组件是: 从C & C服务器加载的通知侦听器服务和动态dex文件。
为了最小化Joker的代码,开发人员通过将代码动态加载到dex文件中来隐藏代码,同时确保在触发时能够完全加载。dex文件中的代码被编码为Base64编码字符串,一旦受害者打开受影响的应用程序,这些字符串就开始解码和加载。
还请阅读什么是Joker恶意软件,它影响了Google play商店上的应用程序?
最初的Joker恶意软件与C & C进行了通信,然后下载了动态dex文件,该文件以casses.de x的形式加载。但是,代码的新修改版本嵌入在不同的区域中,classes.de x文件将加载新的有效负载。恶意软件是通过创建一个与C & C通信的新对象来触发的。
“与最初的Joker恶意软件的过程相比,新方法要复杂得多。它需要一个。dex文件读取清单文件,然后开始解码有效负载。有效载荷解码后,它会加载一个新的。dex文件,然后感染设备,“丛林工厂的安卓应用开发者Lalit Wadhwa告诉indianexpress.com。
根据检查点报告,Base64字符串位于内部类内部,而不是添加到清单文件中。这意味着恶意代码只需要设备读取字符串,对它们进行解码,然后加载反射即可感染。
小丑恶意软件: 它做了什么,所有应用程序都被感染了,以及如何修复它
由于有效负载隐藏在Base 64字符串中,演员隐藏文件所需要做的唯一事情是将C & C服务器设置为状态代码返回 “false”,如果正在运行测试。
Check point建议您彻底检查所有应用程序,并查看它们是否来自不受信任的开发人员。如果您觉得自己下载了受感染的文件,则应立即将其卸载。然后,您应该检查您的手机和信用卡账单是否有任何违规行为。如果有任何与银行交谈并取消订阅这些费用。最后,建议用户在智能手机上安装防病毒程序以防止感染。
相关推荐
猜你喜欢
