تحذير إنتل من شركة جوكر لتهديد البرامج الضارة

النوع

استشارة

الفئة

برامج ضارة

المنصة المستهدفة

الأجهزة المحمولة/أندرويدتستهدف برامج جوكر الضارة/تروجان، التي يطلق عليها اسم Bread، مستخدمي الهواتف المحمولة التي تعمل بنظام Android. إنها تتنكر كتطبيقات جوال شرعية على متجر Google Play، ولكن بعد تثبيتها تقوم بالعديد من الأنشطة الضارة بما في ذلك سرقة البيانات. يتمتع Joker بالقدرة على إجراء تفاعلات تلقائية، والتي من خلالها يحاكي نقرات المستخدم على أي شيء يريده مما يؤدي إلى تفاعل غير مصرح به من قبل المستخدم. تحتوي التطبيقات المصابة على قائمة برموز البلد المحمول (MCC)، ويعتمد تسليم الحمولة في المرحلة الثانية على بطاقة SIM الخاصة بالضحية باستخدام أحد رموز البلدان المدرجة. مناطق الاتحاد الأوروبي وآسيا هي الأهداف الرئيسية لهذا حصان طروادة. فيما يلي قائمة بالدول الضحية:

أستراليا
النمسا
بلجيكا
البرازيل
الصين
قبرص
مصر
فرنسا
ألمانيا
غانا
اليونان
هندوراس
الهند
إندونيسيا
أيرلندا
إيطاليا
الكويت
ماليزيا
ميانمار
هولندا
النرويج
بولندا
البرتغال
دولة قطر
جمهورية الأرجنتين
صربيا
سنغافورة
سلوفينيا
إسبانيا
السويد
سويسرا
تايلاند
تركيا
أوكرانيا
الإمارات العربية المتحدة
المملكة المتحدة
الولايات المتحدة

يحتوي حصان طروادة على قناة الأوامر والتحكم (C2) التي يتم من خلالها إرسال الأوامر والبيانات. تم تصميمه بطريقة جدولة الوظائف، أي أنه يطلب بشكل دوري أوامر جديدة من خادم C&C. فيما يلي بعض الوظائف الرئيسية المضمنة في Joker:

استخراج الرسائل القصيرة/استخراج OTP
عملية متعددة المراحل
تفاعل المستخدم غير المصرح به
سرقة الأموال
إدخال أوامر جافا سكريبت
استخراج جهات الاتصال في دفتر الهاتف

يمكن لـ Joker الاختباء داخل أطر الإعلان، دون الكشف عن الكثير من التعليمات البرمجية الضارة في العلن، مما يساعد البرامج الضارة على تجنب اكتشافها. المراحل المختلفة لتسليم الحمولة كما هو موضح أدناه:

يتم التحميل الأولي عبر مكون Joker Initialization، والذي يتم إدراجه في أطر الإعلان للتطبيقات الشرعية.
بعد التهيئة، ستقوم البرامج الضارة بتنزيل تكوين AES المشفر من خادم C2. وفي بداية المرحلة الثانية، يتم إرسال سلسلة مصممة خصيصًا إلى خادم C2 لاستخراج الحمولة.
في النهاية، سيقوم Joker بتنزيل مجموعة البرامج الضارة، وهي ملف dex، عند الانتهاء من المرحلة الثانية.
يتم تنفيذ التحميل الديناميكي لملفات dex لتقليل بصمات Joker على الجهاز.

التأثير

التأثير الفني

تقوم البرامج الضارة بعمل اشتراكات في الخدمات المتميزة نيابة عن المستخدمين.
يلتقط رسائل نصية لسرقة OTP.
تتمتع البرامج الضارة بالقدرة على التفاعل مع مطالبات الأذونات دون موافقة المستخدم لإجراء موافقات غير مصرح بها نيابة عن العميل لتثبيت أدوات إضافية.
إنه قادر على استخراج جهات الاتصال من الهاتف، مما يعرض خصوصية المستخدمين للخطر.
يتيح إدخال الأوامر للبرامج الضارة الوصول إلى أنظمة الملفات واستخراج بيانات المستخدم.
يسرق بيانات نموذج المستخدم للحصول على معلومات بطاقة الائتمان.

تأثير الأعمال

يتيح اختراق بيانات الموظفين الهامة عبر هجمات الأجهزة المحمولة للمهاجمين الوصول إلى شبكات المؤسسات.
تستهدف الدول القومية منصات الهواتف المحمولة لتنفيذ هجمات تجسس ضد الشركات الكبيرة والبنى التحتية الحيوية.

عوامل التخفيف

قم بإزالة جميع التطبيقات المذكورة في قسم «مؤشرات التسوية» أدناه.
تحقق من فواتير بطاقات الائتمان/كشوف الحساب.
قم بتثبيت حل EDR لهاتفك المحمول.

مؤشرات التسوية

المرحلة الأولى (توزيع الحمولة) C&C:

http://3.122.143[.]26/

الشروط والأحكام الرئيسية:

http://joker2.dolphinsclean[.]com/http://beatleslover[.]com/http://47.254.144[.]154/

ثنائيات المرحلة الثانية (الأساسية):

https://s3.amazonaws.com/media.site-group-df[.]com/s8-releasehttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s8–5-releasehttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s8-5-dsp-releasehttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s8-allhttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s9-3-sendsmshttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s9–6-releasehttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s9–6–2-releasehttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s9-6-3https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/Y12-all-no-loghttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/Y12-no-loghttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/Y13-allhttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/Y13-all-v2-no-log

المرحلة الثانية التي تم فك حزمها من الإصدار «Y13-all-v2-no-log» SHA256:

a7dc4238682147012751b853001 b053527 ca8031a624 bbd5d1a77a3e563

قاعدة لودر يارا:

قاعدة أندرويد_جوكر { 

 سلاسل:

 $c = {52656D6F746520436C6F616B}//عباءة التحكم عن بعد

 $cerr = {6E6574776F726B2069737375653A20747279206C61746572}//مشكلة في الشبكة: حاول لاحقًا

 $net = {2F6170692F636B776B736C3F6963633D}///API/ckwksl? المحكمة الجنائية الدولية =

 $ بروتوكول الإنترنت = {332E3132322E3134332E3236}//3.122.143.26 

 الشرط:

 ($c و $cerr) أو $net أو $ip 

}

تطبيقات Android المصابة

SHA256: b36fbe6b75f00ae835156185ca5ca5d6955 cdfb410d73c3e5653 ضباف 260f166اسم الحزمة: com.with.nofear.myheartالتثبيتات: أكثر من 100,000مسار أداة التحميل: com.startapp.android.publishتكوين MCC: 262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214شا256:718210a0 ج 41160240843711 د 79 د 727 57548e72934 e996 ب 0e16a2b2277369d366 باسم الحزمة: com.cetain.icسطح المكتب. ورق الحائطالتثبيتات: أكثر من 100,000مسار اللودر: com.tohsoft.wallpaper.ui.details.الأساسياتتكوين MCC: غير معروف_262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214شا256:81 دي 784 إي إي 65 أمبير 8 دي سي 1136 83 سي دي 7 سي 271 أ 36 دا 275 أ 500 621 سيفا 187095951 أ 3 أ 5114اسم الحزمة: com.building.castle.bsterالتثبيتات: 50,000+مسار أداة التحميل: com.startapp.android.publishتكوين MCC: 620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:2d9a7d75227c3332591e1e1af5a2f2223 eec3328 c75c95 dea9 a33 ea269200 faf38اسم الحزمة: com.futureage.facelookالتثبيتات: 50,000+مسار أداة التحميل: com.startapp.android.publishتكوين MCC: 262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214SHA256:1 ساعة 724a5 ص 76927106 e92421412 ص 62698707 د 1 د 44 أ 991 ب 3 ج 6902 ف 1780 سي دياسم الحزمة: comeback.myside.smsالتثبيتات: 50,000+مسار اللودر: com.blur.blurphoto.viewتكوين MCC: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:69 × 94 × 2 × 2 × 42 × 49 درجة فهرنهايت 7 بوصة × 2 بوصة × 8 بوصة × 8 بوصة × 8 بوصة × 8 بوصة × 8 بوصة × 8 بوصة × 8 بوصة × 8 بوصة × 8 بوصةاسم الحزمة: com.sybo.ggp.camالتثبيتات: أكثر من 10,000مسار أداة التحميل: com.startapp.android.publishتكوين MCC: 262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214شا256: e44f514 c7729a6c39700 db6ac51c817c77741e19178f8942 c2d26f62ef9df5اسم الحزمة: com.declare.smsarr.messageالتثبيتات: أكثر من 10,000مسار أداة التحميل: com.messages.messenger.chat.listشا256:226e9c5ca 45facb9a36529e09958546 c4b351 f4b7ae02101 f8e3c1d6e3e7bاسم الحزمة: com.change.nicephotoالتثبيتات: أكثر من 10,000مسار اللودر: com.blur.blurphoto.view.تكوين MCC: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:6261 be516a 54d8566348 b8305e96 f34 bdbf4 f11620350 c5 f36f4 bc3 cb67f181اسم الحزمة: com.rapidface.smart.scannerالتثبيتات: أكثر من 10,000 مسار اللودر: com.fungo.constellation.common.ballتكوين MCC: غير معروف_262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214شا256:43b36c438a3531e42623 fbd00f5b5066a4d8048ce8e0ab0b5ecf9e67aabfاسم الحزمة: com.burning.rockn.scanالتثبيتات: أكثر من 10,000مسار أداة التحميل: com.startapp.android.publishتكوين MCC: 620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286شا256: دا2171a32f3b95620c35a48a34f7293a321ab41266 d3461 f808b2f07694 e5a7اسم الحزمة: com.board.picture.editingالتثبيتات: أكثر من 10,000مسار اللودر: com.color.black.filterتكوين MCC: غير معروف_460_262_520_202_222_427_232شا256:494 سي 8 سي 6155a08 ae95a2 f1962636911310 سي 98 د 36 اف 065 دي 81 دي اف 4 اف سي 4 اف سي 172913495اسم الحزمة: com.cute.hd4kcam.ameraالتثبيتات: أكثر من 10,000مسار التحميل: com.facebook.appevents.camera.picsتكوين MCC: غير معروف_262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214شا256: أ 8 بي إف 4055 أ 4988 إي 181 ب 915 سي 93 سي 6278503 بي 562475 أ 558 أ ف 3 ج 6 دبا 54 إي 06 ب 13اسم الحزمة: com.wallpapers.dazzle.gpالتثبيتات: أكثر من 10,000مسار أداة التحميل: com.startapp.android.publishتكوين MCC: 262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214شا256: غرفة النوم 4166 أ 9 سي دي إف 2 إف 7 سي 8 إف 81 إف بي 5 دي 6 دي 60 دي 200 دي بي سي 667 أ 827489 أ 248 إف 31اسم الحزمة: com.cantwait.ezlife.wallpaperالتثبيتات: أكثر من 10,000مسار أداة التحميل: com.startapp.android.publishتكوين MCC: 620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286شا256: b631b2254850e62804fc66895850dbf007d670a843af843af8d843af8d843a843af8d843a843af8d843a843a843a843a843a843a843a843اسم الحزمة: com.climate.smsالتثبيتات: أكثر من 10,000مسار اللودر: com.color.black.filterتكوين MCC: غير معروف_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286شا256:2e3bff9dda4c568a5e12c2f468227ec8ec8 dc5 baf9913 f573f02ef2d5432b37b0اسم الحزمة: com.xw.supervpnfreeالتثبيتات: أكثر من 5,000مسار اللودر: org.greenrobot.eventbus.utilتكوين MCC: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286شا256:9b4a1b7c638 be029f0ffcb92dfcb92dfcb92df742f41f36d43a45f6a80d20d1285646اسم الحزمة: كاميرا com.vegtable.blif.cameraالتثبيتات: أكثر من 5,000مسار أداة التحميل: com.startapp.android.publishSHA256:5405e39 ديسيبل de78e3b561a6e54f208 ce557 f04 bdbdc363e6442892d26b91811eاسم الحزمة: com.print.plant.scanالتثبيتات: أكثر من 5,000مسار اللودر: com.plantfinder.identification.ui.innerتكوين MCC: غير معروف_262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214شا256:65135899349 داكا 2646 كا 36 ج 5 أ 442382 ج 988 ف 5 ب 3749 2 بدن 5322170 د 777 ص 77 أاسم الحزمة: com.saying.wallpaper.bbالتثبيتات: أكثر من 5,000مسار أداة التحميل: com.startapp.android.publishتكوين MCC: 262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214شا256:54 أمبير 1530 ديسيبل 829 سم 71 ب 24 10 ج 066 28 دي 034 إي 38 سي 52 بي بي 300 2 إف 82 سي 771 سي 219 دي 91958 داسم الحزمة: com.hampi.senderالتثبيتات: 1,000+مسار اللودر: com.color.black.filterتكوين MCC: غير معروف_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286شا256:27450 سي 3 سي 735 دي سي 3 دي با 9254 أ 3 ب 08 إد 22 بي سي دي 8631343 سي بي 70107 دي 4 إي 41 إي 17 إف بي بي 548اسم الحزمة: com.ignite.amino.clean (لا يزال قيد التشغيل!)التثبيتات: 1,000+مسار اللودر: com.alc.coolermaster.activity.createتكوين MCC: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286_602_255شا256:162 ساعة 177 درجة مئوية 9 صور 9ب 94366063 دي 63 دي اف دي 97 اف دي 92اف 7a50e0e429 د 54 اف 73 دي سي 3 امبير 52 اف 1 ب 3 ايهاسم الحزمة: com.anti.mysecurityمسار اللودر: org.greenrobot.eventbus.utilتكوين MCC: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286شا256: f165e04ee6ec84a2e57108c0f7e157a5dc1158 fb38a161e5cde89476838c09اسم الحزمة: com.hello.sweetangle.horoscopeمسار اللودر: com.mopub.common.boostشا256:0 إبا 66 سي دي إيه 54 سي 732645 كا 69949882097 سي 2 إف 2 إي 69 دي إف 917إي8834 ب 6636 إب 00848772اسم الحزمة: com.tr.rushphotoمسار اللودر: com.mopub.common.boost