24 app di Google Play trovate per distribuire malware Joker

Joker Malware on Google Play

Secondo Google Play, le app dannose progettate per infettare ignari utenti Android con il nuovo malware Joker sono state scaricate per un totale di 472.000 volte. Il numero sembra relativamente elevato, ma dobbiamo sottolineare che potrebbe non essere del tutto esatto. Le tecniche di astroturf sono piuttosto popolari tra gli operatori di malware, il che significa che il numero di download non può sempre essere attendibile.

Tuttavia, secondo i ricercatori del CSIS Security Group, il malware Joker è stato distribuito attraverso un totale di 24 applicazioni ed era rivolto a utenti di 37 paesi, tra cui la maggior parte degli Stati membri dell'UE e alcuni dei più grandi mercati dell'Estremo Oriente e Sud America. Quindi, non stiamo parlando di una piccola campagna. Vediamo cosa volevano ottenere i criminali con esso.

Le tecniche di offuscamento intelligente e il targeting specifico distinguono Joker

Gli esperti del CSIS Security Group non hanno detto che tipo di applicazioni trasportavano il malware Joker, né Google, che ha rilevato in modo indipendente le app e le ha rimosse dal Play Store. Ciò significa che determinare l'esatta demografia della base di utenti target non è molto semplice. È sicuro dire, tuttavia, che questa non è la tipica campagna spray-and-pray volta a colpire quante più persone possibile.

Sebbene alcune applicazioni procedano con l'infezione indipendentemente dall'obiettivo, la maggior parte delle app Joker sono programmate per controllare il numero di telefono dell'utente e vedere se si trova in un elenco di prefissi internazionali codificati all'interno dell'applicazione. Alcune app sono progettate per interrompere l'operazione se rilevano che il dispositivo appartiene a un cittadino statunitense o canadese. È difficile dire se l'attenta selezione degli obiettivi abbia qualcosa a che fare con esso, ma secondo i ricercatori, frammenti del codice di Joker, nonché alcune caratteristiche del suo pannello di controllo, suggeriscono che gli autori sono cinesi.

Una volta che l'app dannosa decide che il target è adatto all'infezione, procede con il download del payload di secondo livello dal server Command & Control (C&C), ma tenta di farlo nel modo più silenzioso possibile. La comunicazione con il C&C si limita all'invio di un breve rapporto di un'infezione riuscita e alla ricezione del payload in forma crittografata. Il malware è stato progettato per eseguire il minor numero possibile di comandi Java, il che rende difficile rilevare e nascondere le loro attività dannose, alcune delle app infestate da Joker utilizzano schermate iniziali.

Un malware con abbonamento premium che può fare molto di più

Una volta eseguito il payload di secondo livello, il malware Joker contatta periodicamente C&C e attende le istruzioni. Nella campagna CSIS osservata, le applicazioni dannose sono state utilizzate per abbonare le vittime a servizi a pagamento.

C&C invia l'URL e Joker utilizza JavaScript per aprirlo e seguire i passaggi dell'abbonamento. Molti dei servizi premium che Joker utilizza richiedono un codice aggiuntivo che viene inviato all'utente come SMS. Il malware può leggere il messaggio di testo, recuperare il codice e completare l'abbonamento.

Gli esperti di CSIS non hanno fornito troppi dettagli su ciò che le vittime sono finite, ma hanno detto che alcuni utenti in Danimarca sono stati registrati per un servizio che costa € 6,71 (circa $ 7,40) a settimana.

È chiaro che in questa particolare campagna, Joker è stato utilizzato per fare soldi. Ci sono un paio di cose che suggeriscono che può essere impiegato anche per altri scopi.

Il fatto che sia in grado di leggere messaggi di testo indica chiaramente che sono stati investiti molto tempo e sforzi, cosa non molto tipica per il malware utilizzato solo per abbonarsi a servizi a pagamento. Inoltre, quando i ricercatori di CSIS hanno esaminato più da vicino, hanno scoperto che Joker non solo può leggere un SMS, ma può anche inviarne il contenuto a C&C. Inoltre, gli esperti hanno osservato che Joker stava raschiando e inviando elenchi di contatti delle vittime agli operatori del malware. In altre parole, con alcune piccole modifiche, Joker può essere trasformato in un potente strumento di cyberespionage.

Il malware appare di nuovo su Google Play

Gli esperti di CSIS hanno elogiato Google per aver rimosso le app dannose dal Play Store in modo rapido ed efficiente. Va detto, tuttavia, che non avrebbero dovuto apparire in primo luogo.

Il problema del malware sull'app store ufficiale di Android non è nuovo e Google ha cercato di trovare un modo per risolverlo da un po 'di tempo. Sfortunatamente, nonostante filtri e meccanismi di protezione apparentemente nuovi e migliorati, non mancano le applicazioni dannose che scivolano regolarmente in rete. Ciò significa che devi comunque essere più attento che mai, soprattutto con le autorizzazioni richieste dalle nuove app.

September 11, 2019
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.