Mais um aplicativo é identificado com o malware 'Joker' na Google Play

Seis aplicativos contendo malware Joker foram removidos da Google Play Store

O Joker é um malware que exfiltra dados silenciosamente e inscreve os usuários em assinaturas premium indesejadas, que em setembro, o malware foi encontrado em 24 aplicativos na Google Play.

Inesperadamente, na semana passada, os pesquisadores do Pradeo identificaram outro aplicativo infectado ainda em destaque no Google Play.

O aplicativo chamado Int App Lock, uma ferramenta destinada a bloquear o acesso a alguns dados com um código PIN, foi instalado em mais de 10.000 dispositivos.

Imagem: reprodução / Pradeo

Portanto, os usuários são aconselhados a excluí-lo imediatamente do dispositivo.

O loader do malware Joker

Mais um aplicativo é identificado com o malware 'Joker' na Google Play

Na maioria dos aplicativos, surpreendentemente, os desenvolvedores inseriram o componente de inicialização do Joker em uma ou outra estrutura de anúncio. O pequeno pacote de código malicioso geralmente consiste em:

  • Verificação do país-alvo via MCC;
  • Comunicação mínima de C&C – apenas o suficiente para relatar a infecção e receber a configuração criptografada;
  • Descriptografia e carregamento do DEX;
  • Um ouvinte de notificação – quando uma nova mensagem SMS chegar, o ouvinte captura e envia uma transmissão para o componente Core (segundo estágio) pegar.

Frequentemente, um aplicativo conteria a chamada tela “Splash” – uma atividade que exibe o logotipo do aplicativo enquanto executa vários processos de inicialização em segundo plano.

310 e 302 são os códigos MCC para EUA e Canadá. Imagem: reprodução / CSIS TechBlog

No entanto, alguns dos aplicativos Joker também usam essa atividade para inicialização.

Fraude e vazamento de dados

O Int App Lock hospeda um malware chamado Joker, um bot malicioso cuja principal atividade é simular cliques e interceptar o SMS para assinar serviços premium pagos, sem o conhecimento dos usuários.

Assim, utilizando o mínimo de código possível e ocultando-o completamente, o Joker gera uma pegada muito discreta que pode ser difícil de detectar.

Apesar desse programa de fraude, o Int App Lock também acessa e exfiltra as informações da lista de contatos e dispositivos para enviá-los para 11 servidores externos, incluindo assim, alguns altamente suspeitos baseados na Turquia e Israel.

Mais detalhes do malware Joker que estava na Google Play

Mais um aplicativo é identificado com o malware 'Joker' na Google Play

  • Nome: Int App Lock
  • Pacote: com.int.app.locker
  • Versão: 1.0.2
  • Avaliação: 1,5/5 na Google Play
  • Instalações: 10.000

Através deste artigo, viu-se que mais um aplicativo é identificado com o malware ‘Joker’, que estava na loja Google Play, infernizando os usuários de Android.

Via: Pradeo / CSIS TechBlog

Leia também:

Malware envia 30 mil e-mails de extorsão sexual por hora.

Saiba como evitar ataques de hackers em 2020.