Windows malware använder lagliga P2P-nätverk för att dölja
Forskare har detaljerade nyligen upptäckt skadlig kod, men det är fortfarande osäkert vad målet med botnet är en kampanj.
En ny skadlig kod för kampanjen har lyckats infiltrera den officiella Google Play store för att distribuera Joker Trojan till Android-enheter i ett försök att genomföra annons bedrägeri.
Förra veckan, säkerhet forskare Aleksejs Kuprins från it hot intelligens fast CSIS Security Group sade den kraftiga ökningen av skadlig verksamhet har spårats under de senaste veckorna, vilket leder till upptäckten av den 24 Android-program som innehåller skadlig kod.
Totalt-program-som görs tillgänglig via Google Play — har installerats över 472,000 gånger av ovetande ägare Android-telefon.
Skadliga program innehöll en Trojan som kallas Joker av it-företaget, ett namn som refererar till en av de domännamn som är ansluten till förarens kommando-och-kontroll (C2) server.
Se även: Författare till flera IoT botnät åberopat sig skyldig
Joker försök att tiga och oupptäckt på infekterade produkter genom att använda sig av så lite JavaScript-kod som möjligt och låsa sin kod genom mörkläggning tekniker. I många fall, malware har integrerats inom reklam ramarna är länkade till sina skadliga program.
Den skadliga koden innehåller den vanliga listan av Trojan funktioner, bland annat stöld av SMS-meddelanden, kontaktuppgifter, och enheten data, och ständigt pingar sin C2 för kommandon. Men Joker går vidare genom att försöka generera vinst till sina operatör genom bedräglig reklam verksamhet.
Joker kan interagera med annonsen nätverk och webbplatser genom att simulera klick och tyst registrerar dig offer för premium-tjänster. I ett exempel, Joker registrerat dig som användare i Danmark för en premium webbplats service kostar cirka 7 euro per vecka genom att simulera klick på sajten, automatiskt in i operatörens koder erbjuda, och extrahera bekräftelse koder från SMS-meddelanden som skickas till målenheten. Dessa koder är sedan in till annons webbplats för att slutföra processen.
I andra fall, skadlig kod kan enkelt skicka SMS till betalnummer.
CNET: Kontorist använder fotografiskt minne att stjäla kreditkort info från 1 300 kunder
Varje bedrägliga ‘jobb’ som erhållits från C2 och en gång premium service registreringar är fullständig, Joker informerar C2 och väntar på vidare instruktioner.
Joker är operatörerna fokuserar på 37 särskilda länder som mål, inklusive Kina, STORBRITANNIEN, Tyskland, Frankrike, Singapore och Australien. Många av infekterade appar som hittas av de forskare som innehåller en lista över Mobila landskoder (MCC) och i SIM-kortet på en infekterad enhet har att förhålla sig till acceptabla MCC för Joker att köra.
De flesta av dessa program kommer inte att distribuera skadlig kod om en användare är i Usa eller Kanada, men en handfull av dem inte innehåller något land begränsningar.
TechRepublic: Hur för att logga in på ditt Microsoft-Konto på webbplatsen utan att ett lösenord
När det gäller Joker ‘ s erkännande att ingenting satt i sten, men gränssnittet i C2-administration panel och vissa av bot: s kodning visar att utvecklare av skadlig kod kan vara Kinesiska.
Medan antalet installationer är relativt hög, utan att behovet av information från forskare, Google har upptäckts och tagits bort alla skadliga appar från Google Play. Malware kryper in i officiella app arkiv är en ständig utmaning, men i det här fallet, CSIS Security Group, säger tech jätten “verkar vara på toppen av detta hot så mycket som det är möjligt.”
ZDNet har nått ut till Google för att kommentera och kommer att uppdatera om vi hör av sig igen.
Tidigare och relaterade täckning
En ny sakernas internet botnet är att infektera Android-baserade set-top-boxar
Nya Mirai botnet lurar i Tor-nätverket för att hålla sig under radarn
Outlaw hackare tillbaka med cryptocurrency mining botnet
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter