Se encontraron 24 aplicaciones de Google Play para distribuir el malware Joker

Joker Malware on Google Play

Según Google Play, las aplicaciones maliciosas que fueron diseñadas para infectar a los usuarios desprevenidos de Android con el nuevo malware Joker se descargaron un total de 472,000 veces. El número parece relativamente alto, pero debemos señalar que podría no ser del todo exacto. Las técnicas de astroturfing son bastante populares entre los operadores de malware, lo que significa que no siempre se puede confiar en el número de descarga.

Sin embargo, según los investigadores de CSIS Security Group, el malware Joker se entregó a través de un total de 24 aplicaciones y estaba dirigido a usuarios en 37 países, incluidos la mayoría de los estados miembros de la UE, así como algunos de los mercados más grandes del Lejano Oriente y Sudamerica. Entonces, no estamos hablando de una pequeña campaña. Veamos qué querían lograr los delincuentes con eso.

Técnicas inteligentes de ofuscación y objetivos específicos distinguen a Joker

Los expertos de CSIS Security Group no dijeron qué tipo de aplicaciones llevaban el malware Joker, y tampoco Google, que detectó de forma independiente las aplicaciones y las eliminó de Play Store. Esto significa que determinar la demografía exacta de la base de usuarios objetivo no es muy fácil. Sin embargo, es seguro decir que esta no es la típica campaña de rociar y orar destinada a golpear a la mayor cantidad de personas posible.

Aunque algunas de las aplicaciones continúan con la infección independientemente del objetivo, la mayoría de las aplicaciones Joker están programadas para verificar el número de teléfono del usuario y ver si está en una lista de códigos de país que está codificada dentro de la aplicación. Algunas de las aplicaciones están diseñadas para abortar la operación si ven que el dispositivo pertenece a un ciudadano estadounidense o canadiense. Es difícil decir si la selección cuidadosa de los objetivos tiene algo que ver con eso, pero según los investigadores, fragmentos del código de Joker, así como algunas características de su panel de control, sugieren que los autores son chinos.

Una vez que la aplicación maliciosa decide que el objetivo es apto para la infección, continúa con la descarga de la carga útil de la segunda etapa del servidor de Comando y Control (C&C), pero trata de hacerlo lo más silenciosamente posible. La comunicación con los C&C se limita a enviar un breve informe de una infección exitosa y recibir la carga útil en forma cifrada. El malware fue diseñado para ejecutar la menor cantidad posible de comandos Java, lo que dificulta su detección y para ocultar sus tareas maliciosas, algunas de las aplicaciones infestadas de Joker usan pantallas de presentación.

Un malware de suscripción premium que puede hacer mucho más

Una vez que se ejecuta la carga útil de la segunda etapa, el malware Joker se contacta periódicamente con los C&C y espera instrucciones. En la campaña que CSIS observó, las aplicaciones maliciosas se usaron para suscribir a las víctimas a servicios pagos.

El C&C envía la URL, y Joker usa JavaScript para abrirla y seguir los pasos de suscripción. Muchos de los servicios premium que utiliza Joker requieren un código adicional que se envía al usuario como un SMS. El malware puede leer el mensaje de texto, recuperar el código y completar la suscripción.

Los expertos de CSIS no proporcionaron demasiados detalles sobre con qué terminaron las víctimas, pero dijeron que algunos usuarios en Dinamarca se inscribieron en un servicio que cuesta € 6,71 (alrededor de $ 7,40) por semana.

Está claro que en esta campaña en particular, Joker fue utilizado para ganar dinero. Sin embargo, hay un par de cosas que sugieren que también puede emplearse para otros fines.

El hecho de que pueda leer mensajes de texto indica claramente que se dedicó mucho tiempo y esfuerzo, lo cual no es muy típico para el malware que se usa para nada más que suscribir personas para servicios pagados. Lo que es más, cuando los investigadores del CSIS observaron más de cerca, descubrieron que Joker no solo puede leer un SMS, sino que también puede enviar su contenido a los C&C. Además de esto, los expertos observaron que Joker raspaba y enviaba las listas de contactos de las víctimas a los operadores del malware. En otras palabras, con algunas modificaciones menores, Joker puede convertirse en una poderosa herramienta de ciberespionaje.

El malware aparece nuevamente en Google Play

Los expertos de CSIS elogiaron a Google por eliminar las aplicaciones maliciosas de Play Store de manera rápida y eficiente. Hay que decir, sin embargo, que no deberían haber aparecido en primer lugar.

El problema del malware en la tienda de aplicaciones oficial de Android no es nuevo , y Google ha estado tratando de encontrar formas de resolverlo por un tiempo. Desafortunadamente, a pesar de los filtros y mecanismos de protección supuestamente nuevos y mejorados, no faltan las aplicaciones maliciosas que se escabullen regularmente por la red. Esto significa que aún debe ser tan cuidadoso como siempre, especialmente con los permisos que solicitan las nuevas aplicaciones.

En Duran
September 11, 2019
News
Spanish
September 11, 2019
News

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.