Исследователи из CERT Polska обнаружили сложную кампанию по созданию вредоносного ПО для Android, включающую вредоносное приложение, которое подписывает пользователей на премиум-услуги без их согласия.
Joker Malware
Вредоносное ПО, являющееся частью кампании Joker, использует командно-контрольный сервер для организации своих операций. Он использует различные классы, такие как PostFormTask, BaseTask и ParamsBuilder, для создания и выполнения сетевых запросов, а также обрабатывает ответы сервера с помощью сообщения Toast для отображения зашифрованных данных. Предполагается, что эти данные расшифровываются нативным методом класса BeautySoft и динамически исполняются в виде DEX-файла, хотя необходимая нативная библиотека (libphotoset.so) не включена в APK из Google Play Store.
Вредоносная программа нацелена на устройства с SIM-картами определенных операторов, перехватывает SMS-сообщения и использует WebView с включенным JavaScript для автоматизации взаимодействия со страницами подписки. Он получает MSISDN жертвы и использует его, а также другие данные, такие как TransactionId с C&C-сервера, для отправки запросов на транзакцию. Затем вредоносная программа перехватывает коды подтверждения из SMS-сообщений для завершения процесса подписки и проверяет статус транзакции, чтобы убедиться в успехе. Возможности вредоносной программы свидетельствуют о высоком уровне автоматизации и скрытности, представляя значительную угрозу безопасности, конфиденциальности и финансам пользователей.
Анализируемый вариант вредоносной программы Joker также манипулирует сетевым подключением, предпочитая мобильные сети Wi-Fi, и способен обходить двухфакторную аутентификацию или перехватывать подтверждающие сообщения от премиум-сервисов.
Indicators of Compromise
Domains
- forga.oss-me-east-1.aliyuncs.com
- kamisatu.top
URLs
- https://forga.oss-me-east-1.aliyuncs.com/Kuwan
MD5
- 5942a2e46b29ddc1dd5d9373a8c419ad
- 62d9b7cff4a09d7c3b7e8bcf9d00d196
- bcfe46df4d66cc3c6f92d281ceac53e1
- f508a96654c355b8bd575f8d8ed8a157
