Actualités

Joker : réminiscence du spyware avec une nouvelle variation !

Décembre 2019, Vénus calait son attaque sur le malware initial Joker, qui ciblait les abonnements ou contenus “premium” en vue de les véroler à l’insu du consommateur-internaute pour mieux extirper les données sensibles – notamment bancaires – de la victime : Joker est à nouveau sur le devant de la scène sécuritaire avec une légère variante…

 

 

Ici, le malware est optimisé pour les applications mobiles (toujours sous Android, via le Play Store de Google) avec, en socle, toujours le même modus operandi depuis un fichier .DEX vérolé qui chargera (payload) cette nouvelle variante de Joker : “La première méthode utilisée pour charger le fichier dex consistait à le lire à partir du fichier manifeste. Lors de l’inspection du fichier manifeste, nous avons pu voir qu’il y avait un autre champ de métadonnées qui contenait un fichier dex encodé en Base64 […] nous avons également détecté une variante «intermédiaire», qui utilisait la technique de masquage du fichier .dex en tant que chaînes Base64 – mais au lieu d’ajouter les chaînes au fichier Manifest, les chaînes se trouvaient dans une classe interne de l’application principale. Dans ce cas, tout ce qui était nécessaire pour que le code malveillant s’exécute était de lire les chaînes, de les décoder à partir de Base64 et de les charger avec réflexion”, détaille l’équipe CheckPoint dans un billet datant du 9 Juillet dernier.

 

Onze applications ont été retirés :

  • Image compress,
  • Contact with me,
  • Relax relaxation,
  • Cherry message,
  • Peason loving me,
  • Recove files,
  • LP Locker,
  • Remind me et
  • Training memory game.

 

L’attaque est toujours de type C&C (Command and Control) mais permet un chargement presque automatisé du module malveillant (payload) : une évolution dans l’historique – malveillant – de ce malware… A veiller !

 

Source : Check Point – 9 Juillet 2020 – Joker : nouvelle variante du malware.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020