🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Home
Threat Intelligence Posts
Malware Intelligence

Aviso da Intel sobre ameaças de malware do Joker

O conselho de inteligência de ameaças da CloudSEK sobre o malware Joker se disfarça como aplicativos móveis legítimos na Google Play Store, infectando dispositivos Android.
Updated on
April 17, 2026
Published on
October 16, 2020
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
Tipo
Consultivo
Categoria
Malware
Plataforma de destino
Dispositivos móveis/AndroidO malware/trojan Joker, apelidado de Bread, tem como alvo usuários móveis Android. Ele se disfarça como aplicativos móveis legítimos na Google Play Store, mas após sua instalação, ele realiza várias atividades maliciosas, incluindo a exfiltração de dados. O Joker tem a capacidade de fazer interações automatizadas, simulando os cliques do usuário em qualquer coisa que ele quiser, levando à interação não autorizada do usuário. Os aplicativos infectados contêm uma lista de códigos móveis de país (MCC), e a segunda etapa de entrega da carga útil é baseada no cartão SIM da vítima usando um dos códigos de país listados. As regiões da UE e da Ásia são os principais alvos desse trojan. Aqui está uma lista das nações vítimas:
  • Austrália
  • Áustria
  • Bélgica
  • Brasil
  • China
  • Chipre
  • Egito
  • França
  • Alemanha
  • Gana
  • Grécia
  • Honduras
  • Índia
  • Indonésia
  • Irlanda
  • Itália
  • Kuwait
  • Malásia
  • Mianmar
  • Holanda
  • Noruega
  • Polônia
  • Portugal
  • Catar
  • República da Argentina
  • Sérvia
  • Cingapura
  • Eslovênia
  • Espanha
  • Suécia
  • Suíça
  • Tailândia
  • Turquia
  • Ucrânia
  • Emirados Árabes Unidos
  • Reino Unido
  • Estados Unidos
O trojan tem um canal de comando e controle (C2) através do qual comandos e dados são enviados. Ele é projetado de forma programadora de tarefas, ou seja, solicita periodicamente novos comandos do servidor C&C. Abaixo estão algumas das principais funcionalidades que estão embutidas no Joker:
  • Extração de SMS/extração OTP
  • Operação em vários estágios
  • Interação não autorizada do usuário
  • Roubo de dinheiro
  • Injeção de comando JavaScript
  • Extração de contatos da lista telefônica
O Joker pode se esconder nas estruturas de publicidade, sem expor muito de seu código malicioso à vista, o que ajuda o malware a evitar a detecção. Os diferentes estágios da entrega da carga útil são os seguintes:
  • O carregamento inicial é feito por meio de um componente de inicialização do Joker, que é inserido nas estruturas de publicidade de aplicativos legítimos.
  • Após a inicialização, o malware baixará a configuração criptografada AES do servidor C2. E no início do segundo estágio, uma string especialmente criada é enviada ao servidor C2 para extração da carga útil.
  • Eventualmente, o Joker baixará o kit de malware, um arquivo dex, ao concluir a segunda etapa.
  • O carregamento dinâmico de arquivos dex é implementado para minimizar as impressões digitais do Joker no dispositivo.

Impacto

Impacto técnico
  • O malware faz assinaturas de serviços premium em nome dos usuários.
  • Pega mensagens de texto para roubo de OTP.
  • O malware tem a capacidade de interagir com solicitações de permissão sem o consentimento do usuário, fazendo aprovações não autorizadas em nome do cliente para instalar ferramentas adicionais.
  • Ele é capaz de extrair contatos do telefone, comprometendo a privacidade dos usuários.
  • A injeção de comando permite que o malware acesse sistemas de arquivos e exfiltre os dados do usuário.
  • Rouba dados do formulário do usuário para obter informações do cartão de crédito.
Impacto nos negócios
  • O comprometimento de dados críticos dos funcionários por meio de ataques móveis dá aos atacantes acesso às redes corporativas.
  • Os estados-nação têm como alvo plataformas móveis para realizar ataques de espionagem contra grandes empresas e infraestruturas críticas.

Mitigações

  • Remova todos os aplicativos mencionados na seção “Indicadores de compromisso” abaixo.
  • Verifique as faturas do cartão de crédito/extratos da conta.
  • Instale uma solução de EDR para o seu celular.

Indicadores de compromisso

Primeiro estágio (distribuição de carga útil) C&C:
http://3.122.143[.]26/
Principais C&Cs:
http://joker2.dolphinsclean[.]com/http://beatleslover[.]com/http://47.254.144[.]154/
Binários de segundo estágio (Core):
https://s3.amazonaws.com/media.site-group-df[.]com/s8-releasehttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s8–5-releasehttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s8-5-dsp-releasehttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s8-allhttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s9-3-sendsmshttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s9–6-releasehttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s9–6–2-releasehttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/s9-6-3https://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/Y12-all-no-loghttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/Y12-no-loghttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/Y13-allhttps://tb-eu-jet.oss-eu-central-1.aliyuncs[.]com/Y13-all-v2-no-log
Segunda etapa descompactada da compilação “Y13-all-v2-no-Log” SHA256:
a7dc4238682147012751bb853001b053527ca8031a624bbd5db1a77a3e563ead
Regra YARA do carregador:
regra android_joker { cordas: $c = {52656D6F746520436C6F616B}//Capa remota $cerr = {6E6574776F726B2069737375653A20747279206C61746572}//problema de rede: tente mais tarde $ net = {2F6170692F636B776B736C3F6963633D}///api/ckwksl? icc= $ ip = {332E3132322E3134332E3236}//3,122,143,26 condição: ($c e $cerr) ou $net ou $ip }

Aplicativos Android infectados

SHA256: b36fbe6b75f00ae835156185ca5d6955cdfbe410d73c3e5653dabbaff260f166Nome do pacote: com.with.nofear.myheartInstalações: mais de 100.000Caminho do carregador: com.startapp.android.publishConfiguração MCC: 262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214SHA256:718210a0c41160240843711d79f2757548e72934e996b0e16a2b2277369d366bNome do pacote: com.certain .icdesktop.wallpaperInstalações: mais de 100.000Caminho do carregador: com.tohsoft.wallpaper.ui.details.basicsConfiguração MCC: unknown_262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214SHA256:81d784ee65a8dc113683cd7cc271a36da275a500621cefa187095951af3a5114Nome do pacote: com.building.castle.bsterInstalações: mais de 50.000Caminho do carregador: com.startapp.android.publishConfiguração MCC: 620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:2d9a7d75227c3332591e1af5a2f2223eec3328c75c95dea9a33ea269200faf38Nome do pacote: com.futureage.facelookInstalações: mais de 50.000Caminho do carregador: com.startapp.android.publishConfiguração MCC: 262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214SHA256:1e724a5af76927106ee92421412af62698707d1d44a9891f91b3c6902f1780cdNome do pacote: com.comeback.myside.smsInstalações: mais de 50.000Caminho do carregador: com.blur.blurphoto.viewConfiguração MCC: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:69d94f94233a2e42d49eeafaea7bf2aad86671cdaf3be45b00ff3de624d7e883Nome do pacote: com.sybo.ggp.camInstalações: mais de 10.000Caminho do carregador: com.startapp.android.publishConfiguração MCC: 262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214SHA256: e44f514c7729a6c39700db6ac51c817c77741e19178f8942c2d26f6b62ef9df5Nome do pacote: com.declare.smsarr.messageInstalações: mais de 10.000Caminho do carregador: com.messages.messenger.chat.listSHA256:226e9c5ca45facb9b9a36529e09958546c4b351f4b7ae02101f8e3c1d6e3de7bNome do pacote: com.change.nicephotoInstalações: mais de 10.000Caminho do carregador: com.blur.blurphoto.view.Configuração MCC: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:6261be516a54d8566348b8305e96f34bdbf4f11620350c5f36f4bc3cb67fc181Nome do pacote: com.rapidface.smart.scannerInstalações: mais de 10.000 Caminho do carregador: com.fungo.constellation.common.ballConfiguração MCC: unknown_262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214SHA256:43b36c438a3531e42623fbd00f5b57066a4db8048ce8e0ab0b5ecf9eac67aabfNome do pacote: com.burning.rockn.scanInstalações: mais de 10.000Caminho do carregador: com.startapp.android.publishConfiguração MCC: 620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256: da2171a32f3b95620c35a48a34fb7293a321ab41266d3461f808b2f07694e5a7Nome do pacote: com.board.picture.editingInstalações: mais de 10.000Caminho do carregador: com.color.black.filterConfiguração MCC: unknown_460_262_520_202_222_427_232SHA256:494c8c6155a08ae95a2f1962636911310c98d36f065e81eddf4ffcb172913495Nome do pacote: com.cute.hd4kcam.cameraInstalações: mais de 10.000Caminho do carregador: com.facebook.appevents.camera.picsConfiguração MCC: unknown_262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214SHA256: a8bf4055a4988ee181be9915c93c6278503be562475a558aef3c6dba54e06b13Nome do pacote: com.wallpapers.dazzle.gpInstalações: mais de 10.000Caminho do carregador: com.startapp.android.publishConfiguração MCC: 262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214SHA256: befde4166a9cdf2ff7c8f81fb5dec6a6760d20e0debbc667a8274899a248ef31Nome do pacote: com.cantwait.ezlife.wallpaperInstalações: mais de 10.000Caminho do carregador: com.startapp.android.publishConfiguração MCC: 620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256: b631b2254850e62804fc66895850dcbf007d670aa843af8d2e525c85947da2d4Nome do pacote: com.Climate.SMSInstalações: mais de 10.000Caminho do carregador: com.color.black.filterConfiguração MCC: unknown_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_722_505_206_280_214_208_234_4_419_260_220_525_293_286SHA256:2e3bff9dda4c568a5e12c2f468227ec8dc5baf9913fe573f02ef2d5432b37bc0Nome do pacote: com.xw.supervpnfreeInstalações: mais de 5.000Caminho do carregador: org.greenrobot.eventbus.utilConfiguração MCC: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:9b4a1b7c638be029f0ffcb92dcfac74052f41fc36d43a45f6aa80d20d1285646Nome do pacote: com.vegtable.blif.cameraInstalações: mais de 5.000Caminho do carregador: com.startapp.android.publishSHA256:5405e39dbde78e3b561a6e54f208ce557f04bdbdc363ea6442892d26ba91811eNome do pacote: com.print.plant.scanInstalações: mais de 5.000Caminho do carregador: com.plantfinder.identification.ui.innerConfiguração MCC: unknown_262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214SHA256:65135899349daca2646ca36c5a442382bc988f5b3749a2bd5322170d777af77aNome do pacote com.saying.wallpaper.bbInstalações: mais de 5.000Caminho do carregador: com.startapp.android.publishConfiguração MCC: 262_202_460_268_520_502_424_510_414_232_204_222_272_427_228_214SHA256:54aba1530d829c71b2410c06628de034e38bc52be3002f82cc771c219d91958dNome do pacote: com.hampi.senderInstalações: mais de 1.000Caminho do carregador: com.color.black.filterConfiguração MCC: unknown_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_722_505_206_280_214_208_234_4_419_260_220_525_293_286SHA256:27450c3c735dc3dcba9254a3b08ed22bbcde8631343cb70107d4e41e17fbb548Nome do pacote: com.ignite.Amino.clean (still up!)Instalações: mais de 1.000Caminho do carregador: com.alc.coolermaster.activity.createConfiguração MCC: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286_602_255SHA256:162ee177dea9b94366063de63dffd97f92f7a50e0e429d54fea73dc3a52f1b3aNome do pacote: com.anti.mysecurityCaminho do carregador: org.greenrobot.eventbus.utilConfiguração MCC: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256: f165e04ee6ec84a2e57108c0f7e157a5dc1158fb38a161e5cfcde89476838c09Nome do pacote: com.hello.sweetangle.horoscopeCaminho do carregador: com.mopub.common.boostSHA256:0eba66cda54c732645ca69949882097c2f2e69dff917e8834b6636ef00848772Nome do pacote: com.tr.rushphotoCaminho do carregador: com.mopub.common.boost
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS
May 29, 2023
Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI
January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more