Joker家族木马深度分析与防御指南

1. Joker家族概述

Joker（又称Bread）家族是一种活跃于Android平台的恶意软件家族，最早于2016年12月被发现。该家族名称源于其早期使用的C2域名中提取的特征字符串"Joker"。

1.1 主要恶意行为

肆意订阅各种收费SP服务（短信付费服务）
窃取用户隐私数据（短信内容、token、cookie等）
通过短信欺诈进行非法获利

1.2 传播特点

主要通过Google Play商店传播
截至2020年已扩展到13000+个样本
单个样本下载量可达100万+次

2. 技术分析

2.1 样本信息示例

MD5: 8f3e2ae23d979adfb714cd075cefaa43
包名: com.pios.pioneer.messenger.sms
证书指纹: 1a1f8513e81dc69b5f31d3fb81db360d33a21fb7
来源: Google Play
加固方式: Dex加密

2.2 攻击流程

初始感染：用户从Google Play下载被感染的APP
第一阶段下载：从C2服务器下载Dropper模块
- URL示例：https://rockmanpc.oss-us-east-1.aliyuncs.com/yellow/PioneerSMS.midi
第二阶段下载：Dropper下载并加载真正的恶意模块
- URL示例：https://rockmanpc.oss-us-east-1.aliyuncs.com/yellow/jiujiu.png
恶意模块执行：加载classes.dex并调用特定方法(com.antume.Cantin->buton)
C2通信：与服务器建立连接并执行恶意行为

2.3 C2通信机制

通信地址：161.117.83.26/k3zo/B9MO
加密方式：
- 双重加密：自定义加密 + DES加密
- DES参数：
  - IV(HEX): 3064333333343536
  - KEY: 6662616533323734

2.4 通信数据字段

字段	描述
serial	设备序列号或App首次安装时间戳
iso	MCC+MNC代码(SIM卡运营商国家代码和运营商网络代码)
os_version	SDK版本
pkg	App包名
mt	是否有监控收到短信的权限
mobile	移动数据是否开启
sms	是否有发送短信的权限

2.5 恶意功能实现

数据存储：从C2响应中提取以下字段存入SharedPreferences文件"Saurfang"
- device_id
- app_id
- p_u_u
- r_d
- s_r_c
短信操作：解析{pair: "::"}数据，向指定号码发送短信

JavaScript API接口：

参数	功能描述
addComment	添加注释
sleep	睡眠
getPin	从最新短信中获取Pin确认码
setContent	设置发送给p_u_u指定URL的数据
submit	向C2发送数据
sendSms	发送短信
post	向指定URL发起POST请求
get	向指定URL发起GET请求
callPhone	拨打电话

高级功能：
- 下载并执行ELF文件(libtls_arm)创建WebSocket连接
- 根据SIM卡运营商实施不同攻击：
  - 非泰国AIS用户：窃取短信内容发送到C2
  - 泰国AIS用户：强行订阅SP服务
- 窃取网页访问时的token、cookie等隐私数据
- 劫持沃达丰SP、泰国DTAC等SP服务响应参数

3. 影响分析

3.1 攻击目标

主要针对Android用户
特别关注泰国AIS运营商用户
通过Google Play商店广泛传播

3.2 危害程度

造成用户直接经济损失（恶意订阅SP服务）
隐私数据泄露风险
截至2020年已有数百万下载量

4. 防御建议

4.1 用户防护措施

避免使用小众APP，特别是功能简单的工具类应用
只从官方应用商店或大厂官网下载应用
关注安全厂商发布的安全警报
定期检查手机账单和订阅服务
注意应用权限请求，特别是短信相关权限

4.2 企业防护措施

部署移动威胁防御(MTD)解决方案
实施应用白名单策略
监控异常网络流量，特别是与已知C2地址的通信
定期更新威胁情报，关注最新IOC

5. IOC（威胁指标）

5.1 MD5哈希样本

dfb9f3d5ff895956cadd298b58d897b9
17dc81907be0bb4058cb57a8ae070df6
6b4441182513b8c8030ccb85132be543
60ef636f2e7df271b32077a70bd0a50c
...（完整列表见原文）

5.2 C2服务器IP

161.117.62.127
161.117.83.26
47.74.179.177

6. 参考资源

Joker家族木马深度分析与防御指南 1. Joker家族概述 Joker（又称Bread）家族是一种活跃于Android平台的恶意软件家族，最早于2016年12月被发现。该家族名称源于其早期使用的C2域名中提取的特征字符串"Joker"。 1.1 主要恶意行为肆意订阅各种收费SP服务（短信付费服务）窃取用户隐私数据（短信内容、token、cookie等）通过短信欺诈进行非法获利 1.2 传播特点主要通过Google Play商店传播截至2020年已扩展到13000+个样本单个样本下载量可达100万+次 2. 技术分析 2.1 样本信息示例 2.2 攻击流程初始感染：用户从Google Play下载被感染的APP 第一阶段下载：从C2服务器下载Dropper模块 URL示例： https://rockmanpc.oss-us-east-1.aliyuncs.com/yellow/PioneerSMS.midi 第二阶段下载：Dropper下载并加载真正的恶意模块 URL示例： https://rockmanpc.oss-us-east-1.aliyuncs.com/yellow/jiujiu.png 恶意模块执行：加载classes.dex并调用特定方法( com.antume.Cantin->buton ) C2通信：与服务器建立连接并执行恶意行为 2.3 C2通信机制通信地址： 161.117.83.26/k3zo/B9MO 加密方式：双重加密：自定义加密 + DES加密 DES参数： IV(HEX): 3064333333343536 KEY: 6662616533323734 2.4 通信数据字段 | 字段 | 描述 | |------|------| | serial | 设备序列号或App首次安装时间戳 | | iso | MCC+MNC代码(SIM卡运营商国家代码和运营商网络代码) | | os_ version | SDK版本 | | pkg | App包名 | | mt | 是否有监控收到短信的权限 | | mobile | 移动数据是否开启 | | sms | 是否有发送短信的权限 | 2.5 恶意功能实现数据存储：从C2响应中提取以下字段存入SharedPreferences文件"Saurfang" device_ id app_ id p_ u_ u r_ d s_ r_ c 短信操作：解析{pair: " :: "}数据，向指定号码发送短信 JavaScript API接口： | 参数 | 功能描述 | |------|----------| | addComment | 添加注释 | | sleep | 睡眠 | | getPin | 从最新短信中获取Pin确认码 | | setContent | 设置发送给p_ u_ u指定URL的数据 | | submit | 向C2发送数据 | | sendSms | 发送短信 | | post | 向指定URL发起POST请求 | | get | 向指定URL发起GET请求 | | callPhone | 拨打电话 | 高级功能：下载并执行ELF文件(libtls_ arm)创建WebSocket连接根据SIM卡运营商实施不同攻击：非泰国AIS用户：窃取短信内容发送到C2 泰国AIS用户：强行订阅SP服务窃取网页访问时的token、cookie等隐私数据劫持沃达丰SP、泰国DTAC等SP服务响应参数 3. 影响分析 3.1 攻击目标主要针对Android用户特别关注泰国AIS运营商用户通过Google Play商店广泛传播 3.2 危害程度造成用户直接经济损失（恶意订阅SP服务）隐私数据泄露风险截至2020年已有数百万下载量 4. 防御建议 4.1 用户防护措施避免使用小众APP，特别是功能简单的工具类应用只从官方应用商店或大厂官网下载应用关注安全厂商发布的安全警报定期检查手机账单和订阅服务注意应用权限请求，特别是短信相关权限 4.2 企业防护措施部署移动威胁防御(MTD)解决方案实施应用白名单策略监控异常网络流量，特别是与已知C2地址的通信定期更新威胁情报，关注最新IOC 5. IOC（威胁指标） 5.1 MD5哈希样本 5.2 C2服务器IP 6. 参考资源 Google安全博客 - PHA家族分析 Securelist - WAP计费木马分析 McAfee博客 - 亚洲黑客组织分析 CSIS技术博客 - Joker深度分析