Nuova ondata di malware Android Joker in the Wild
Dopo un periodo di pausa, il malware per la frode di fatturazione di Joker è tornato sul Google Play Store. I ricercatori che lavorano con la società di sicurezza mobile Zimperium hanno pubblicato un rapporto sul nuovo aumento di app che trasportano il malware Joker.
Il malware mobile Joker è solitamente classificato come fleeceware o malware per frode di fatturazione. Si trova all'interno di applicazioni legittime di ogni tipo, dalle app di manipolazione delle foto ai giochi per dispositivi mobili e alle app di messaggistica. Una volta installata l'app, Joker inizia a eseguire silenziosamente i clic, senza alcun tipo di autorizzazione o consenso dell'utente, e sottoscrive l'utente a tutti i tipi di servizi premium a pagamento eseguiti e gestiti dagli attori delle minacce dietro il malware.
Nella maggior parte dei casi, la vittima non ha idea di cosa stia succedendo, poiché tutto viene eseguito in silenzio e la realizzazione che qualcosa è molto sbagliato arriva con la bolletta telefonica per il rispettivo mese, ma a quel punto è un po' tardi. Joker può anche intercettare e rubare i testi SMS e può raschiare contatti e informazioni sul dispositivo infetto.
Come con la maggior parte dei malware mobili, è molto più probabile che ti imbatti in un pacchetto di app che trasporta Joker se peschi pacchetti di applicazioni .apk al di fuori del Google Play Store ufficiale, ma ci sono state abbastanza istanze di app nello store ufficiale che trasportano Joker pure. Zimperium ha dichiarato che nel corso degli ultimi quattro anni un totale di 1800 applicazioni contenenti Joker sono state rimosse dal Google Play Store.
Nonostante le molteplici ondate di rimozioni, i cattivi attori dietro Joker continuano a modificare e migliorare il malware e anche se le app infestate da malware non riescono mai a sopravvivere troppo a lungo ai controlli di sicurezza, il semplice fatto che qualcosa come Joker continui a tornare mostra quanto sia persistente e testardo gli hacker dietro di esso sono.
Uno degli ultimi trucchi che Joker usa per eludere il rilevamento, sia localmente sui dispositivi che sul Play Store, sta rilasciando il payload all'interno di un file .dex che viene offuscato utilizzando la crittografia o archiviato all'interno di un file di immagine utilizzando tecniche di steganografia. La ciliegina sulla torta è che il file immagine può anche essere ospitato su un servizio cloud remoto e legittimo o persino sui server di comando e controllo del malware.
Joker può anche verificare se l'ambiente su cui è atterrato è un emulatore utilizzato per il sandboxing e la ricerca.
