PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182


Aktor penjahat siber di balik malware Joker ditemukan sekali lagi berhasil menyelinapkan aplikasi berbahaya ke dalam Google Play Store.

Aplikasi Android yang mengandung malware Joker, spyware serta dialer premium yang juga dikenal sebagai Bread dan dilacak sejak 2017, pada awalnya dirancang untuk melakukan penipuan SMS.

Baru-baru ini, operator malware Joker terdeteksi menggunakan taktik baru setelah Google memperkenalkan kebijakan Play Store baru yang membatasi penggunaan izin SEND_SMS dan meningkatkan cakupan Google Play Protect.

Versi terbaru malware Android ini sekarang digunakan untuk jenis penipuan tagihan seluler yang dikenal sebagai penipuan toll. Melalui taktik baru ini, operator Joker menggunakan aplikasi berbahaya untuk mengelabui korban agar berlangganan atau membeli berbagai jenis konten melalui tagihan ponsel mereka.

Melawan pertahanan Google Play Store

Varian baru Joker berhasil menyelinap ke Play Store dan menginfeksi pengguna Android setelah menyembunyikan muatan berbahaya sebagai file dex yang disembunyikan dalam string o Base64 di dalam file AndroidManifest aplikasi yang tampaknya seperti tidak berbahaya.

Ini memungkinkan malware untuk berhasil menghindari deteksi saat dianalisis untuk proses pengiriman dan bahkan varian baru ini menghadirkan fitur baru yang memungkinkan operator malware dari jarak jauh mengirim kode status “false” dari server command-and-control (C2) mereka untuk menangguhkan aktivitas berbahaya.

Secara keseluruhan, para peneliti di Check Point yang melihat varian baru Joker melaporkan 11 aplikasi ke Google, dan aplikasi-aplikasi yang dilaporkan tersebut saat ini sudah dihapus dari Play Store per-30 April 2020.

(Gambar: Check Point)

Baca Juga: “Google Hapus 25 Aplikasi Android Yang Ditemukan Mencuri Akun Facebook


Daftar hash sampel malware dan nama paket Android untuk semua aplikasi yang ditemukan mengandung Joker tersedia dalam tabel di bawah ini:

sha256Package Name
db43287d1a5ed249c4376ff6eb4a5ae65c63ceade7100229555aebf4a13cebf7com.imagecompress.android
d54dd3ccfc4f0ed5fa6f3449f8ddc37a5eff2a176590e627f9be92933da32926com.contact.withme.texts
5ada05f5c6bbabb5474338084565893afa624e0115f494e1c91f48111cbe99f3com.hmvoice.friendsms
2a12084a4195239e67e783888003a6433631359498a6b08941d695c65c05ecc4com.relax.relaxation.androidsms
96f269fa0d70fdb338f0f6cabf9748f6182b44eb1342c7dca2d4de85472bf789com.cheery.message.sendsms
0d9a5dc012078ef41ae9112554cefbc4d88133f1e40a4c4d52decf41b54fc830com.cheery.message.sendsms
2dba603773fee05232a9d21cbf6690c97172496f3bde2b456d687d920b160404com.peason.lovinglovemessage
46a5fb5d44e126bc9758a57e9c80e013cac31b3b57d98eae66e898a264251f47com.file.recovefiles
f6c37577afa37d085fb68fe365e1076363821d241fe48be1a27ae5edd2a35c4dcom.LPlocker.lockapps
044514ed2aeb7c0f90e7a9daf60c1562dc21114f29276136036d878ce8f652cacom.remindme.alram
f90acfa650db3e859a2862033ea1536e2d7a9ff5020b18b19f2b5dfd8dd323b3com.training.memorygame

Untuk pengguna yang telah menginstal salah satu aplikasi yang mengandung Joker, sangat disarankan segera memeriksa ponsel dan riwayat transaksi untuk melihat apakah ada pembayaran mencurigakan yang mencurigakan. Selain itu, pastikan untuk memeriksa dengan cermat izin perangkat untuk setiap aplikasi yang diinstal.

Sumber:

Muhammad Zaky Zulfiqor

Just a simple person who like photography, videography, code, and cyber security enthusiast.