One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8592153 |
| Date de publication | 2024-10-04 17:37:43 (vue: 2024-10-04 18:18:09) |
| Titre | The Dark Knight Returns: Joker Malware Analysis |
| Texte | #### Géolocations ciblées
- Pologne
## Instantané
Les chercheurs de CERT Polska ont identifié une campagne de logiciels malveillants Android sophistiquée impliquant une application malveillante qui abonne les utilisateurs à des services premium sans leur consentement.
## Description
Le malware, qui fait partie de la campagne Joker, utilise un serveur de commande et de contrôle pour orchestrer ses opérations.Il utilise diverses classes telles que PostFormTask, Basetask et ParamsBuilder pour construire et exécuter les demandes de réseau et traiter les réponses du serveur à l'aide d'un message de toast pour afficher les données cryptées.Ces données sont soupçonnées d'être déchiffrées par une méthode native dans la classe Beautysoft et exécutée en tant que fichier dex dynamiquement, bien que la bibliothèque native nécessaire (libphotoset.so) ne soit pas incluse dans l'APK depuis le Google Play Store.
Le malware cible les appareils avec SIMS à partir d'opérateurs spécifiques, intercepte les messages SMS et utilise une vue Web avec JavaScript activée pour automatiser les interactions avec les pages d'abonnement.Il récupère le MSISDN de la victime et les utilise, ainsi que d'autres données telles qu'un transactionID du serveur C&C, pour envoyer des demandes de transaction.Le malware intercepte ensuite les codes de confirmation des messages SMS pour terminer le processus d'abonnement et vérifie l'état de la transaction pour assurer le succès.Les capacités du malware \\ indiquent un niveau élevé d'automatisation et de furtivité, constituant une menace significative pour la sécurité, la confidentialité et les finances des utilisateurs.
La variante de logiciels malveillants Joker a également manipulé la connectivité réseau, préférant les réseaux mobiles au Wi-Fi et est capable de contourner l'authentification à deux facteurs ou d'intercepter les messages de confirmation des services premium.
## Recommandations
- Installez uniquement les applications à partir de sources de confiance et de magasins officiels.
- Si un appareil ne reçoit plus de mises à jour, envisagez fortement de le remplacer par un nouvel appareil.
- Utilisez des solutions mobiles telles que [Microsoft Defender pour le point de terminaison sur Android] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint-android?view=o365-worldwide) àdétecter les applications malveillantes
- Gardez toujours les applications inconnues inconnues sur le périphérique Android pour empêcher les applications d'être installées à partir de sources inconnues.
- Évaluez si [Microsoft Defender pour l'Internet des objets (IoT)] (https://learn.microsoft.com/en-us/azure/defender-for-iot/organizations/overview) est applicable à votre environnement IoT.
## références
[The Dark Knight Returns: Joker Malware Analysis] (https://cert.pl/en/posts/2024/10/analiza-joker/) Cert -pl (consulté 2024-10-04)
## Copyright
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
#### Targeted Geolocations - Poland ## Snapshot Researchers at CERT Polska have identified a sophisticated Android malware campaign involving a malicious application that subscribes users to premium services without their consent. ## Description The malware, part of the Joker campaign, uses a command and control server to orchestrate its operations. It employs various classes such as PostFormTask, BaseTask, and ParamsBuilder to construct and execute network requests, and processes server responses using a Toast message to display encrypted data. This data is suspected to be decrypted by a native method in the BeautySoft class and executed as a DEX file dynamically, although the necessary native library (libphotoset.so) is not included in the APK from the |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### **© 2024 2024** 365/security/defender accessed all along also although always analysis analyzed android any apk applicable application applications apps apps disabled are as authentication automate automation basetask beautysoft being bypassing c&c campaign capabilities capable cert checks class classes codes com/en com/microsoft command complete confirmation connectivity consent consider construct content control copyright dark data decrypted defender description detect device devices dex display distribution dynamically employs enabled encrypted endpoint endpoint/microsoft ensure environment evaluate execute executed factor file finances from geolocations google have high https://cert https://learn identified included indicate install installed interactions intercepting intercepts internet involving iot iot/organizations/overview its javascript joker joker/ keep install knight level libphotoset library longer malicious malware manipulates message messages method microsoft mobile msisdn native necessary network networks new not official only operations operators orchestrate other over pages paramsbuilder part permission pl/en/posts/2024/10/analiza play poland polska posing postformtask preferring premium prevent privacy process processes prohibited receiving recommendations references replacing reproduction requests researchers reserved responses retrieves returns: rights security send server services significant sims site sms snapshot solutions sophisticated sources specific status stealth store stores strongly subscribes subscription success such suspected targeted targets then thereof things threat toast transaction transactionid trusted two unknown updates us/azure/defender use users uses using variant various victim view=o365 webview whether without worldwide written your |
| Tags | Malware Threat Mobile |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.