;
Maison / Tech / Cybercriminalité, Batman! Le malware Joker commet une fraude publicitaire, un vol de données

Cybercriminalité, Batman! Le malware Joker commet une fraude publicitaire, un vol de données

Une firme de recherche a révélé que deux douzaines d'applications générant collectivement plus de 472 000 téléchargements à partir du magasin Google Play ont été infectées par un nouveau programme malveillant Android, Joker, qui fournit une charge utile à la fois de fraude publicitaire et de vol de données.

Le deuxième programme malveillant de Joker est un fichier .dex (Dalvik Executable) capable de voler les messages SMS, les listes de contacts et les informations sur les appareils des victimes. Il collabore aussi secrètement avec des sites Web de publicité pour générer de faux clics, ainsi que pour enregistrer les victimes infectées avec des abonnements à des services premium qu’elles n’ont pas demandés, selon l’analyste des logiciels malveillants du SCRS, Aleksejs Kuprins. blog technique.

Les logiciels malveillants demandent à ces abonnements non autorisés «d'automatiser l'interaction nécessaire avec la page Web de l'offre premium, d'entrer le code de l'offre de l'opérateur, puis d'attendre un message SMS avec un code de confirmation et de l'extraire à l'aide d'expressions régulières», écrit Kuprins. “Enfin, le Joker soumet le code extrait à la page Web de l’offre afin d’autoriser l’abonnement premium.

Kuprins note que Google était au courant des applications malveillantes et qu'il s'employait activement à extraire les applications malveillantes de son magasin, en supprimant les 24 "sans aucune note de notre part".

Joker ne télécharge le contenu malveillant que si l'appareil infecté contient une carte SIM de l'un des 37 pays codés dans les applications. Dans son message, le SCRS identifie les pays suivants: Australie, Autriche, Belgique, Brésil, Chine, Chypre, Égypte, France, Allemagne, Ghana, Grèce, Honduras, Inde, Indonésie, Irlande, Italie, Koweït, Malaisie, Myanmar, Pays-Bas, Norvège , Pologne, Portugal, Qatar, République d'Argentine, Serbie, Singapour, Slovénie, Espagne, Suède, Suisse, Thaïlande, Turquie, Ukraine, Émirats arabes unis, Royaume-Uni et États-Unis.

Bien que les États-Unis soient l’un des 37 pays ciblés, la plupart des applications contiennent des instructions supplémentaires qui empêchent l’exécution des programmes malveillants aux États-Unis et au Canada.

Le SCRS indique que la charge utile principale est «réduite et silencieuse», qu’elle utilise un minimum de code Java et génère une empreinte de pas limitée, le tout dans l’espoir d’éviter toute attention indésirable. Il reçoit, code et commande via HTTP, en exécutant le code via des rappels JavaScript à Java pour se défendre contre les analyses statiques.

Les commentaires de code du malware et l’interface utilisateur de son panneau C2 sont tous deux écrits en chinois, une observation qui offre un indice possible quant à l’attribution des attaques.

Source

A propos Pratik

Découvrez également

Salut à tous, The Blob, la science de la moisissure intelligente visqueuse

C’est officiel: les humains sont annulés. Si nous ne cherchons pas à détruire lentement la …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *