Hoe Joker (SysJoker) verwijderen van Android-apparaten
Geschreven door Tomas Meskauskas op
Wat is Joker malware?
Joker (ook bekend als SysJoker) is een Trojan malware die gericht is op Android-gebruikers. Het werd verpakt in minstens twee applicaties die meer dan 400.000 keer werden gedownload uit de Google Play store. Het belangrijkste doel van Joker is om inkomsten te genereren voor de verantwoordelijke cybercriminelen door middel van frauduleuze advertentieactiviteiten.
Als een op een Android-apparaat geïnstalleerde toepassing Joker-malware bevat, verwijder deze dan onmiddellijk.
Joker malware overzicht
Joker kan samenwerken met verschillende advertentienetwerken en webpagina's door klikken te simuleren en nietsvermoedende gebruikers heimelijk aan te melden voor premium diensten.
Joker kan slachtoffers bijvoorbeeld aanmelden voor een premium webservice tegen een wekelijks bedrag door klikken op de webpagina te simuleren, automatisch de aanbiedingscodes van de operator in te voeren en bevestigingscodes af te persen van sms'jes die naar het apparaat van het slachtoffer worden gestuurd.
Het proces wordt voltooid door codes te verstrekken aan de advertentie webpagina, maar Joker kan ook worden gebruikt om gewoon sms-berichten te sturen naar de premium nummers. Hoe dan ook, zodra een slachtoffer is aangemeld, stuurt Joker gerelateerde informatie naar een Command & Control (C2) server die wordt gecontroleerd door cybercriminelen en moet het slachtoffer verdere instructies afwachten.
Onderzoek toont aan dat Joker kan worden gebruikt om sms-berichten en contactgegevens te stelen. Hieronder staat een lijst met apps die door Joker malware zijn aangetast. Als een van deze apps op een apparaat is geïnstalleerd, moet deze onmiddellijk worden verwijderd. Het is echter zeer waarschijnlijk dat de meeste/alle apps niet langer beschikbaar zijn in de Google Play Store.
| Naam | Joker (SysJoker) malware |
| Type bedreiging | Android malware, malicious application. |
| Detectienamen (Stud Finder) | Ikarus (Win32.Outbreak), Kaspersky (HEUR:Trojan.AndroidOS.Jocker.wx), ZoneAlarm by Check Point (HEUR:Trojan.AndroidOS.Jocker.wx), volledige lijst van detecties (VirusTotal) |
| Symptomen | Het apparaat werkt traag, systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker, dubieuze toepassingen verschijnen, gegevens- en batterijverbruik nemen aanzienlijk toe, browsers worden omgeleid naar malafide websites, opdringerige advertenties worden weergegeven, gebruikers worden geabonneerd op premium-rate diensten, een aanzienlijk hogere telefoonrekening. |
| Verspreidingsmethodes | Google Play Store, geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, misleidende toepassingen, scamwebsites. |
| Schade | Gestolen persoonlijke gegevens (privéberichten, verminderde prestaties van het apparaat, de batterij is snel leeg, verminderde internetsnelheid, aanzienlijk gegevensverlies, geldverlies, gestolen identiteit (schadelijke apps kunnen misbruik maken van communicatie-apps). |
| Malware verwijderen (Android) | Om malware-infecties te verwijderen, raden onze beveiligingsonderzoekers aan om uw Android-apparaat te scannen met legitieme anti-malware software. Wij raden Avast, Bitdefender, ESET of Malwarebytes aan. |
Android-specifieke malware voorbeelden
Andere voorbeelden van Android-malware zijn Anubis, Eventbot en Ginp. De genoemde voorbeelden werken verschillend, maar het hoofddoel is identiek: cybercriminelen helpen om op verschillende manieren inkomsten te genereren. Vaak lijden slachtoffers van deze malware-aanvallen geldelijk verlies, worden ze slachtoffer van identiteitsdiefstal, ondervinden ze online privacyproblemen en andere problemen.
Hoe heeft Joker mijn apparaat geïnfiltreerd?
Joker werd (en wordt mogelijk nog steeds) verspreid via applicaties die beschikbaar zijn in de Google Play store. Gelukkig detecteert en verwijdert Google schadelijke apps uit Google Play. Bovendien kan het risico dat een apparaat is geïnfecteerd met een Trojan zoals Joker worden verwijderd met behulp van diensten zoals Google Play Pass.
Verschillende malware wordt vaak verspreid via niet-vertrouwde downloadkanalen zoals Peer-to-Peer-netwerken (bijv. torrent-clients, eMule), onofficiële websites, downloaders van derden, gratis bestandshostingpagina's, freeware downloadsites, enz. Cybercriminelen gebruiken deze vaak om schadelijke bestanden te hosten die, als ze worden gedownload en geopend, malware installeren.
Malware wordt ook verspreid door het verzenden van e-mails die een kwaadaardig Microsoft Word-, PDF-document, uitvoerbaar bestand (.exe), JavaScript-bestand of archiefbestand (ZIP, RAR) bevatten. Apparaten worden echter alleen geïnfecteerd als ontvangers de bestanden openen (of bestanden openen die zijn gedownload via meegeleverde websitelinks).
Verschillende valse updaters en installateurs kunnen ook leiden tot de installatie van malware. Ze installeren gewoon malware in plaats van updates of maken gebruik van bugs/fouten in verouderde software.
Hoe vermijdt u de installatie van malware?
Onrelevante e-mails die van onbekende, verdachte of dubieuze adressen worden verstuurd en bijlagen of weblinks bevatten, moeten niet worden vertrouwd. Links en bestanden in e-mails mogen niet worden geopend zonder dat je zeker weet dat dit veilig is.
Software mag niet worden gedownload of geïnstalleerd via downloaders van derden, installers, Peer-to-Peer netwerken (bijv. torrent clients, eMule) of andere soortgelijke kanalen. Alle apps en bestanden mogen alleen worden gedownload van officiële websites en via directe links.
Bovendien moet geïnstalleerde software worden bijgewerkt en geactiveerd via tools of functies die zijn ontworpen door officiële ontwikkelaars. Tools van derden verspreiden vaak malware. Bovendien is het illegaal om activering van gelicentieerde programma's te omzeilen met verschillende onofficiële activeringstools ('cracking').
Lijst van apps die zijn aangetast door Joker-malware (de meeste/alle zijn al verwijderd uit de Google Play-winkel, maar ze kunnen nog steeds bestaan op reeds geïnfecteerde apparaten):
- Advocate Wallpaper
- Age Face
- Altar Message
- Antivirus Security – Security Scan
- Beach Camera
- Board picture editing
- Certain Wallpaper
- Climate SMS
- Collate Face Scanner
- Cute Camera
- Dazzle Wallpaper
- Declare Message
- Display Camera
- Great VPN
- Humour Camera
- Ignite Clean
- Leaf Face Scanner
- Mini Camera
- Print Plant scan
- Rapid Face Scanner
- Reward Clean
- Ruddy SMS
- Soby Camera
- Spark Wallpaper
- Quick SMS
Update 13 November 2020 - De bijgewerkte versie van Joker maakt gebruik van Github (het gebruikt Github en Github Pages om zijn schadelijke payload op te slaan) zodat het moeilijker te detecteren is.
Het gebruikt JS-code om commando's uit te voeren die worden ontvangen van C&C (Command and Control server) waarmee bedreigingsactoren commentaar kunnen toevoegen op de geopende pagina, de PIN-code van een melding kunnen lezen, SMS-berichten, POST- en GET-verzoeken en enkele andere commando's kunnen versturen. Het gebruikt ook C&C-servers om gegevens te verbergen die kunnen wijzen op kwaadaardige activiteiten.
Schermafbeelding van een toepassing (Blood Pressure Health) die wordt gebruikt om de Joker-trojan te verhullen:
Schermafbeelding van weer een andere toepassing ("Stud Finder") die wordt gebruikt als vermomming voor Joker trojan:
Update 15 juli, 2022 - Cybercriminelen hebben onlangs een bijgewerkte variant van Joker (ook bekend als SysJoker) malware uitgebracht die is ontworpen om zich heimelijk te abonneren op verschillende premium diensten zonder toestemming van de gebruiker. De variant heeft de naam Autolycos gekregen.
Snelmenu:
- Introductie
- Hoe de browsergeschiedenis in de Chrome-webbrowser verwijderen?
- Hoe de browsermeldingen in de Chrome-webbrowser uitschakelen?
- Hoe de Chrome-webbrowser resetten?
- Hoe de browsergeschiedenis in de Firefox-webbrowser verwijderen?
- Hoe de browsermeldingen in de Firefox-webbrowser uitschakelen?
- Hoe de Firefox webbrowser resetten?
- Hoe mogelijk ongewenste en/of schadelijke toepassingen verwijderen?
- Hoe het Android toestel opstarten in "Veilige modus"?
- Hoe het batterijverbruik van verschillende applicaties controleren?
- Hoe het dataverbruik van verschillende applicaties controleren?
- Hoe de laatste software-updates installeren?
- Hoe het systeem terugzetten naar de fabrieksinstellingen?
- Hoe toepassingen met beheerdersrechten uitschakelen?
Browsegeschiedenis verwijderen uit de Chrome-webbrowser:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies het tijdsbereik en de gegevenstypen die u wilt wissen en tik op "Gegevens wissen".
Schakel de browsermeldingen in de Chrome-webbrowser uit:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat u de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden totdat u de optie "Meldingen" ziet en tik erop.
Vind de websites die browsermeldingen geven, tik erop en klik op "Wissen & opnieuw instellen". Hierdoor worden de toestemmingen voor deze websites om meldingen te geven verwijderd, maar als u dezelfde site opnieuw bezoekt, kan het zijn dat er opnieuw om toestemming wordt gevraagd.
U kunt kiezen of u deze toestemming wilt geven (als u weigert, gaat de website naar de sectie "Geblokkeerd" en zal niet langer om toestemming vragen).
Reset de Chrome webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden totdat u de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Opslag".
Tik op "BEHEER OPSLAG", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Merk op dat het resetten van de browser alle opgeslagen gegevens verwijdert. Daarom worden alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, standaardinstellingen en andere gegevens verwijderd. U zult ook opnieuw moeten inloggen op alle websites.
Browsegeschiedenis verwijderen uit de Firefox-webbrowser:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat u "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die je wilt verwijderen en tik op "VERWIJDER DATA".
Schakel de browsermeldingen in de Firefox-webbrowser uit:
Bezoek de website die browsermeldingen geeft, tik op het pictogram links van de URL-balk (het pictogram hoeft niet per se een "slot" te zijn) en selecteer "Site-instellingen bewerken".
Kies in het geopende pop-upvenster voor de optie "Meldingen" en tik op "WISSEN".
Reset de Firefox webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden totdat u de toepassing "Firefox" vindt, selecteer deze en tik op de optie "Opslag".
Tik op "VERWIJDER DATA" en bevestig de actie door op "VERWIJDEREN" te tikken. Merk op dat het resetten van de browser alle gegevens verwijdert die in de browser zijn opgeslagen. Daarom worden alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, standaardinstellingen en andere gegevens verwijderd. U zult ook opnieuw moeten inloggen op alle websites.s.
Verwijder mogelijk ongewenste en/of schadelijke toepassingen:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden totdat u een mogelijk ongewenste en/of schadelijke toepassing ziet, selecteer deze en tik op "Verwijderen". Als u om de een of andere reden de geselecteerde toepassing niet kunt verwijderen (je krijgt bijvoorbeeld een foutmelding), moet je proberen de "Veilige modus" te gebruiken.
Start het Android-apparaat op in "Veilige modus":
De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle toepassingen van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld schadelijke toepassingen verwijderen die je verhinderen wanneer het apparaat "normaal" draait).
Druk op de knop "Aan/uit" en houd deze ingedrukt totdat u het scherm "Uitschakelen" ziet. Tik op het pictogram "Uitschakelen" en houd het ingedrukt. Na een paar seconden verschijnt de optie "Veilige modus" die u kunt starten door het apparaat opnieuw op te starten.
Controleer het batterijverbruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden totdat u "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het verbruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo weinig mogelijk energie te gebruiken om de beste gebruikerservaring te bieden en stroom te besparen. Daarom kan een hoog batterijgebruik erop wijzen dat de applicatie kwaadaardig is.
Controleer het gegevensgebruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden totdat u "Verbindingen" ziet en tik erop.
Scroll naar beneden totdat u "Gegevensgebruik" ziet en selecteer deze optie. Net als bij batterijen zijn legitieme/originele applicaties ontworpen om het gegevensgebruik zo laag mogelijk te houden. Daarom kan een aanzienlijk gegevensgebruik duiden op de aanwezigheid van een schadelijke applicatie.
Merk op dat sommige schadelijke toepassingen ontworpen kunnen zijn om alleen te werken wanneer het apparaat verbonden is met een draadloos netwerk. Daarom moet u zowel het mobiele als Wi-Fi-gegevensverbruik controleren.
Als u een toepassing vindt die veel gegevens gebruikt, ook al gebruikt u deze nooit, raden we u ten zeerste aan deze zo snel mogelijk te verwijderen.
Installeer de laatste software-updates:
De software up-to-date houden is een goede gewoonte voor de veiligheid van het apparaat. De fabrikanten van apparaten brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen, die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder en daarom moet u er altijd voor zorgen dat de software van uw apparaat up-to-date is.
Ga naar "Instellingen", scroll naar beneden totdat u "Software-update" ziet en tik erop.
Tik op "Download updates handmatig" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze dan onmiddellijk. We raden ook aan om de optie "Download updates automatisch" in te schakelen - hierdoor zal het systeem u op de hoogte stellen zodra er een update beschikbaar is en deze automatisch installeren.
Zet het systeem terug naar de fabrieksinstellingen:
Een "fabrieksreset" uitvoeren is een goede manier om alle ongewenste toepassingen te verwijderen, de systeeminstellingen terug te zetten naar de standaard en het apparaat in het algemeen op te schonen.
Houd er rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video-/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Het apparaat wordt teruggezet naar de fabrieksinstellingen.
U kunt ook de basissysteeminstellingen en/of gewoon de netwerkinstellingen herstellen.
Ga naar "Instellingen", scroll naar beneden totdat u "Over telefoon" ziet en tik erop.
Scroll naar beneden totdat u "Reset" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen herstellen naar de fabrieksinstellingen;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen herstellen naar de fabrieksinstellingen;
"Fabrieksgegevens resetten" - het hele systeem resetten en alle opgeslagen gegevens volledig verwijderen;
Schakel applicaties met beheerdersrechten uit:
Als een kwaadwillende applicatie beheerdersrechten krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps deze rechten hebben en de apps uitschakelen die deze rechten niet zouden moeten hebben.
Ga naar "Instellingen", scroll naar beneden totdat u "Vergrendelscherm en beveiliging" ziet en tik erop.
Scroll naar beneden totdat u "Andere beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apparaatbeheer-apps".
Zoek toepassingen die geen beheerdersrechten mogen hebben, tik erop en tik vervolgens op "DEACTIVEER".
Veelgestelde vragen (FAQ)
Mijn Android-apparaat is geïnfecteerd met Joker-malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Nee, de meeste schadelijke programma's kunnen worden verwijderd zonder te formatteren.
Wat zijn de grootste problemen die Joker-malware kan veroorzaken?
De gevaren van een infectie hangen af van de mogelijkheden van de malware en de modus operandi van de cybercriminelen. Joker werkt voornamelijk door slachtoffers te abonneren op premiumdiensten en door premiumnummers te bellen/sms'en. Het heeft ook enkele functies voor het stelen van gegevens. Over het algemeen kunnen dergelijke infecties leiden tot ernstige privacyproblemen, financiële verliezen en mogelijke identiteitsdiefstal.
Wat is het doel van Joker-malware?
De meeste kwaadaardige programma's worden gebruikt om inkomsten te genereren, en Joker is daarop geen uitzondering. Het is echter relevant om te vermelden dat malware ook kan worden gebruikt door cybercriminelen om zichzelf te amuseren, persoonlijke wraakacties uit te voeren, processen te verstoren (bijv. websites, diensten, bedrijven, enz.) en zelfs politiek/geopolitiek gemotiveerde aanvallen te lanceren.
Hoe is Joker-malware mijn Android-apparaat binnengedrongen?
Joker-malware wordt actief verspreid onder verschillende vermommingen via de Google Play Store. Het kan echter ook via andere technieken worden verspreid. Malware wordt voornamelijk verspreid via drive-by downloads, online scams, malvertising, spam e-mails en berichten, dubieuze downloadbronnen (bijv. freeware en sites van derden, P2P sharing netwerken, etc.), illegale software activatie ("cracking") tools en valse updates.
Uitmuntend!
▼ Toon discussie