Joker, il malware che bypassa le protezioni del Google Play Store, colpisce ancora

Il ben noto malware si nasconde nel file “informazioni essenziali” che ogni app Android deve avere, facendo abbonare le vittime ignare a servizi premium.

I ricercatori di Check Point Software Technologies hanno segnalato che il famigerato malware Joker continua ad eludere le protezioni di Google Play Store, e a commettere frodi a insaputa delle proprie vittime. Rintracciato per la prima volta nel 2017, Joker è uno spyware e un dialer che può accedere alle notifiche, leggere e inviare SMS in modo autonomo. Queste capacità vengono utilizzate per far attivare abbonamenti a dei servizi premium all’insaputa delle vittime. Google ha descritto questa operazione del malware come una delle minacce più persistenti che abbia dovuto affronare nel corso degli ultimi anni, affermando che il malware “utilizza praticamente ogni tecnica di cloaking nota, per nascondersi nel tentativo di passare inosservato.

Questa volta, il malware Joker nascondeva codice dannoso all’interno di quello che viene chiamato il file “Android Manifest” di un’app regolare. Ogni app deve avere un file “Android Manifest” nella sua directory principale. Questo file fornisce al sistema Android informazioni essenziali su un’app, come nome, icona e permessi, che il sistema deve ricevere prima di poter eseguire qualsiasi codice. In questo modo, il malware non aveva bisogno di accedere a un server C&C, computer controllato da un cybercriminale utilizzato per inviare comandi a sistemi compromessi dal malware, per scaricare il payload, la parte di malware che esegue l’azione dannosa.

I ricercatori hanno delineato il nuovo metodo Joker in tre fasi:

  1. Creare prima il payload. Joker costruisce il suo payload in anticipo, inserendolo nel file “Android Manifest”, ovvero il file XML di Android che descrive l’intera applicazione.
  2. Saltare il caricamento del payload. Durante il tempo di valutazione, Joker non tenta nemmeno di caricare il payload dannoso, il che rende molto più facile bypassare le protezioni di Google Play Store.
  3. Diffondere il malware. Dopo il periodo di valutazione, dopo l’approvazione, la campagna inizia a funzionare, il payload dannoso viene deciso e caricato.

Joker si è adattato. Lo abbiamo trovato nascosto nel file ‘informazioni essenziali’ che ogni applicazione Android deve avere. Le nostre ultime scoperte indicano che le protezioni di Google Play Store non sono sufficienti. Siamo stati in grado di rilevare numerosi casi di upload di Joker su Google Play su base settimanale, tutti scaricati da utenti ignari. Il malware Joker è difficile da rilevare, nonostante l’investimento di Google nell’aggiunta di protezioni dedicate al Play Store. Sebbene Google abbia rimosso le app dannose, possiamo aspettarci che Joker si adegui nuovamente. Tutti dovrebbero prendersi il tempo necessario per capire cos’è Joker e come può colpire la gente comune.” afferma Pierluigi Torriani, Security Engineering Manager per l’Italia.

I ricercatori hanno divulgato le scoperte in modo responsabile a Google. Tutte le applicazioni segnalate (11 app) sono state rimosse dal Play Store entro il 30 aprile 2020. Check Point è certa che Joker tornerà, quindi è importante proteggersi con una soluzione mobile. Ecco la lista delle app che sono state eliminate dallo store:

sha256Package Name
db43287d1a5ed249c4376ff6eb4a5ae65c63ceade7100229555aebf4a13cebf7com.imagecompress.android
d54dd3ccfc4f0ed5fa6f3449f8ddc37a5eff2a176590e627f9be92933da32926com.contact.withme.texts
5ada05f5c6bbabb5474338084565893afa624e0115f494e1c91f48111cbe99f3com.hmvoice.friendsms
2a12084a4195239e67e783888003a6433631359498a6b08941d695c65c05ecc4com.relax.relaxation.androidsms
96f269fa0d70fdb338f0f6cabf9748f6182b44eb1342c7dca2d4de85472bf789com.cheery.message.sendsms
0d9a5dc012078ef41ae9112554cefbc4d88133f1e40a4c4d52decf41b54fc830com.cheery.message.sendsms
2dba603773fee05232a9d21cbf6690c97172496f3bde2b456d687d920b160404com.peason.lovinglovemessage
46a5fb5d44e126bc9758a57e9c80e013cac31b3b57d98eae66e898a264251f47com.file.recovefiles
f6c37577afa37d085fb68fe365e1076363821d241fe48be1a27ae5edd2a35c4dcom.LPlocker.lockapps
044514ed2aeb7c0f90e7a9daf60c1562dc21114f29276136036d878ce8f652cacom.remindme.alram
f90acfa650db3e859a2862033ea1536e2d7a9ff5020b18b19f2b5dfd8dd323b3com.training.memorygame

Se sospettate di avere una di queste app infette sul dispositivo, ecco cosa dovreste fare:

  • Disinstallare l’app presumibilmente infetta.
  • Controllare le fatture di smartphone e carta di credito per vedere se siete stati registrati a eventuali abbonamenti e, se possibile, cancellateli.
  • Installare una soluzione di sicurezza per prevenire future infezioni.

Per alcuni questi consigli potranno essere piuttosto banali ma per coloro che magari non sono soliti smanettare con queste cose possono risultare vitali per evitare addebiti indesiderati.

Potrebbero interessarti anche...