O Joker é um malware que exfiltra dados silenciosamente e inscreve os usuários em assinaturas premium indesejadas, que em setembro, o malware foi encontrado em 24 aplicativos na Google Play.
Inesperadamente, na semana passada, os pesquisadores do Pradeo identificaram outro aplicativo infectado ainda em destaque no Google Play.
O aplicativo chamado Int App Lock, uma ferramenta destinada a bloquear o acesso a alguns dados com um código PIN, foi instalado em mais de 10.000 dispositivos.
Portanto, os usuários são aconselhados a excluí-lo imediatamente do dispositivo.
O loader do malware Joker
Na maioria dos aplicativos, surpreendentemente, os desenvolvedores inseriram o componente de inicialização do Joker em uma ou outra estrutura de anúncio. O pequeno pacote de código malicioso geralmente consiste em:
- Verificação do país-alvo via MCC;
- Comunicação mínima de C&C – apenas o suficiente para relatar a infecção e receber a configuração criptografada;
- Descriptografia e carregamento do DEX;
- Um ouvinte de notificação – quando uma nova mensagem SMS chegar, o ouvinte captura e envia uma transmissão para o componente Core (segundo estágio) pegar.
Frequentemente, um aplicativo conteria a chamada tela “Splash” – uma atividade que exibe o logotipo do aplicativo enquanto executa vários processos de inicialização em segundo plano.
No entanto, alguns dos aplicativos Joker também usam essa atividade para inicialização.
Fraude e vazamento de dados
O Int App Lock hospeda um malware chamado Joker, um bot malicioso cuja principal atividade é simular cliques e interceptar o SMS para assinar serviços premium pagos, sem o conhecimento dos usuários.
Notícias Relacionadas
Audiolivros Spotify
Spotify expande catálogo de audiolivros com parceria estratégica
Spotify firmou parceria com a Bloomsbury Publishing para expandir seu catálogo de audiolivros. A nova coleção inclui 1.000 títulos de autores aclamados e narradores de destaque, fortalecendo o papel dos audiolivros na plataforma.
Tecnologia móvel
Samsung destaca avanço nas mensagens RCS com suporte no iOS
O suporte a RCS chega ao iOS com o iOS 18.1, permitindo que usuários de Android e iPhone aproveitem uma experiência de mensagens aprimorada e sem necessidade de redes sociais.
Assim, utilizando o mínimo de código possível e ocultando-o completamente, o Joker gera uma pegada muito discreta que pode ser difícil de detectar.
Apesar desse programa de fraude, o Int App Lock também acessa e exfiltra as informações da lista de contatos e dispositivos para enviá-los para 11 servidores externos, incluindo assim, alguns altamente suspeitos baseados na Turquia e Israel.
Mais detalhes do malware Joker que estava na Google Play
- Nome: Int App Lock
- Pacote: com.int.app.locker
- Versão: 1.0.2
- Avaliação: 1,5/5 na Google Play
- Instalações: 10.000
Através deste artigo, viu-se que mais um aplicativo é identificado com o malware ‘Joker’, que estava na loja Google Play, infernizando os usuários de Android.
Via: Pradeo / CSIS TechBlog
Leia também:
