Google ha rimosso dal Play Store Android 11 applicazioni compromesse da Joker, il malware identificato e monitorato per la prima volta tre anni fa e descritto da Google come una delle minacce più persistenti che abbia dovuto affrontare dal 2017.
Joker è una combinazione di spyware e app dialer premium che si nasconde all’interno di app dall’aspetto legittimo, ad esempio download di sfondi apparentemente innocui. Tuttavia, una volta installato sul dispositivo della vittima, può accedere alle notifiche, leggere e inviare SMS. Utilizza queste funzionalità per abbonare le vittime a servizi a tariffa premium.
Secondo Aviran Hazum di Check Point, che è stato sulle sue tracce per un po’ di tempo, Joker ha recentemente avuto un aggiornamento e ora implementa un nuovo metodo in base al quale nasconde il codice dannoso all’interno del file “Android Manifest” di un’app regolare. Ogni app deve avere un file “Android Manifest” nella sua directory principale. Questo file fornisce al sistema Android informazioni essenziali su un’app, come nome, icona e permessi, che il sistema deve ricevere prima di poter eseguire qualsiasi codice.
In questo modo, ha affermato Hazum, Joker non ha bisogno di accedere a un server di comando e controllo (C2) per scaricare il suo payload dannoso, perché il payload è ora precompilato e pronto per l’uso. Ciò ha l’effetto di rendere molto più facile per Joker scivolare inosservato oltre le protezioni del Google Play Store.
Il responsabile della ricerca mobile di Check Point afferma, quindi, che il nuovo metodo di infezione utilizzato da Joker comprende i seguenti tre passaggi:
1. Creazione del payload : Joker crea in anticipo il suo payload, inserendolo nel file manifest di Android.
2. Mancato caricamento del payload : durante il periodo di valutazione, Joker non tenta nemmeno di caricare il payload dannoso, il che rende molto più facile bypassare le protezioni di Google Play Store.
3. Diffusione malware : dopo il periodo di valutazione, dopo che è stata approvata, la campagna inizia a funzionare, il payload dannoso viene deciso e caricato
“Joker adattato”, ha detto Hazum. “L’abbiamo trovato nascosto nel file” informazioni essenziali “che ogni applicazione Android deve avere. I nostri ultimi risultati indicano che le protezioni di Google Play Store non sono sufficienti. Siamo stati in grado di rilevare numerosi casi di caricamenti di Joker su base settimanale su Google Play, che sono stati tutti scaricati da utenti ignari. Il malware Joker è difficile da rilevare, nonostante l’investimento di Google nell’aggiunta delle protezioni del Play Store. Sebbene Google abbia rimosso le app dannose dal Play Store, possiamo aspettarci che Joker si adatti di nuovo. Tutti dovrebbero prendersi il tempo per capire cos’è Joker e come fa male alla gente comune. “
Hazum ha consigliato agli utenti Android cosa fare se ritengono di avere un’app infetta da Joker sul proprio dispositivo. Innanzitutto, disinstalla l’app immediatamente, prima di controllare le fatture di carte mobili e carte di credito per vedere se sei stato registrato per eventuali abbonamenti che non riconosci, ed essere pronto a cancellarli e/o contestarli.
https://research.checkpoint.com/2020/new-joker-variant-hits-google-play-with-an-old-trick/