Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Joker: Угрозы мобильной безопасности и новые механизмы атаки

4
2 мин
Joker — это семейство вредоносных программ, нацеленное на мобильные устройства, которое маскируется под законные приложения. Чаще всего эти программы распространяются через Google Play Store, где их трудно обнаружить, пока не начнется процесс удаления. После установки, Joker получает доступ к SMS-сообщениям, контактам и информации об устройстве, а также может подписывать жертв на платные услуги без их согласия. Вредоносное ПО использует Infrastructure as a Service (C2), преимущественно базирующуюся на облачных серверах. Оно повторно использует SSL-сертификаты для шифрования сообщений, что затрудняет его обнаружение. Недавние исследования выявили APK-файл с названием com.hdphoto.wallpaper4k.apk, который маскировался под приложение для обоев. Основные характеристики поведения Joker при запуске включали: Анализ SSL-сертификата стал ключевым аспектом для глубокого понимания работы Joker. Исследование IP-адреса, ассоциированного с вредоносным ПО, показало, что оно использует сертификаты, вы
Оглавление

Joker — это семейство вредоносных программ, нацеленное на мобильные устройства, которое маскируется под законные приложения. Чаще всего эти программы распространяются через Google Play Store, где их трудно обнаружить, пока не начнется процесс удаления. После установки, Joker получает доступ к SMS-сообщениям, контактам и информации об устройстве, а также может подписывать жертв на платные услуги без их согласия.

Технологические особенности Joker

Вредоносное ПО использует Infrastructure as a Service (C2), преимущественно базирующуюся на облачных серверах. Оно повторно использует SSL-сертификаты для шифрования сообщений, что затрудняет его обнаружение. Недавние исследования выявили APK-файл с названием com.hdphoto.wallpaper4k.apk, который маскировался под приложение для обоев. Основные характеристики поведения Joker при запуске включали:

  • Отправка HTTP POST-запросов к домену, связанному с облачной инфраструктурой Alibaba.
  • Использование сервера на основе nginx версии 1.18.0 и портах 80 и 443.
  • Взаимодействие через API, что характерно для множества современных вредоносных программ.

Анализ инфраструктуры

Анализ SSL-сертификата стал ключевым аспектом для глубокого понимания работы Joker. Исследование IP-адреса, ассоциированного с вредоносным ПО, показало, что оно использует сертификаты, выданные Let’s Encrypt. Популярность этого центра сертификации среди хакеров объясняется его отсутствием строгих процедур проверки.

Всего было выявлено 77 серверов, связанных с операциями Joker, что показывает стремление злоумышленников сохранять контроль над своей инфраструктурой. Эта ротация SSL-сертификатов позволяет уклоняться от механизмов обнаружения и продлевать срок службы их сетей C2.

Выводы

Исследование инфраструктуры Joker подчеркивает важность SSL intelligence для выявления соединений между, казалось бы, не связанными конечными точками. Отслеживание истории SSL-сертификатов позволяет реконструировать временные рамки атак и выявлять дополнительные серверы, используемые в рамках той же вредоносной платформы. Продолжающаяся активность Joker и его зависимость от ограниченного числа SSL-сертификатов свидетельствует о настойчивости его операторов в борьбе с мобильным вредоносным ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Joker: Угрозы мобильной безопасности и новые механизмы атаки".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются