New Wave of Joker Android Malware en la naturaleza
Después de un período de calma, el malware de fraude de facturación Joker está de vuelta en la tienda Google Play. Los investigadores que trabajan con la empresa de seguridad móvil Zimperium publicaron un informe sobre el nuevo aumento de aplicaciones que llevan el malware Joker.
El malware móvil Joker generalmente se clasifica como malware de fraude de facturación o fleeceware. Se incorpora a aplicaciones legítimas de todo tipo, desde aplicaciones de manipulación de fotografías hasta juegos móviles y aplicaciones de mensajería. Una vez que se instala la aplicación, Joker comienza a ejecutar clics silenciosamente, sin ningún tipo de permiso o consentimiento del usuario, y suscribe al usuario a todo tipo de servicios premium pagados que son ejecutados y operados por los actores de amenazas detrás del malware.
En la mayoría de los casos, la víctima no tiene idea de lo que está sucediendo, ya que todo se ejecuta en silencio y la cuenta de que algo anda muy mal viene junto con la factura del teléfono del mes respectivo, pero para ese momento ya es un poco tarde. Joker también puede interceptar y robar mensajes de texto y puede raspar contactos e información sobre el dispositivo infectado.
Al igual que con la mayoría del malware móvil, es mucho más probable que se encuentre con un paquete de aplicación que lleve Joker si busca paquetes de aplicaciones .apk fuera de la tienda oficial de Google Play, pero ha habido suficientes casos de aplicaciones en la tienda oficial que llevan Joker. también. Zimperium declaró que en el transcurso de los últimos cuatro años se han retirado de la tienda Google Play un total de 1800 aplicaciones que llevan Joker.
A pesar de las múltiples oleadas de eliminaciones, los malos actores detrás de Joker siguen modificando y mejorando el malware y, aunque las aplicaciones infestadas de malware nunca logran sobrevivir a los barridos de seguridad durante demasiado tiempo, el simple hecho de que algo como Joker sigue regresando muestra cuán persistente y obstinados son los piratas informáticos detrás de esto.
Uno de los últimos trucos que utiliza Joker para evadir la detección, tanto localmente en dispositivos como en Play Store, es colocar la carga útil dentro de un archivo .dex que se ofusca mediante cifrado o se almacena dentro de un archivo de imagen mediante técnicas de esteganografía. La cereza en la parte superior es que el archivo de imagen también puede estar alojado en un servicio en la nube remoto y legítimo o incluso en los servidores de comando y control del malware.
Joker también puede comprobar si el entorno en el que ha aterrizado es un emulador utilizado para la investigación y el sandboxing.
