Nova onda de malware para Android Joker em estado selvagem
Após um período de calmaria, o malware de fraude de cobrança do Joker está de volta à Google Play Store. Os pesquisadores que trabalham com a empresa de segurança móvel Zimperium publicaram um relatório sobre o novo aumento de aplicativos que carregam o malware Joker.
O malware móvel do Joker é geralmente classificado como malware para fraude de lã ou cobrança. Ele se alia a aplicativos legítimos de todos os tipos, desde aplicativos de manipulação de fotos a jogos para celular e aplicativos de mensagens. Depois que o aplicativo é instalado, o Joker começa a executar cliques silenciosamente, sem qualquer tipo de permissão ou consentimento do usuário, e inscreve o usuário em todos os tipos de serviços premium pagos que são executados e operados pelos agentes de ameaça por trás do malware.
Na maioria dos casos, a vítima não tem ideia do que está acontecendo, pois tudo é executado silenciosamente, e a constatação de que algo está muito errado vem junto com a conta telefônica do respectivo mês, mas a essa altura já é um pouco tarde. O Joker também pode interceptar e roubar textos SMS e pode raspar contatos e informações sobre o dispositivo infectado.
Como acontece com a maioria dos malwares móveis, é muito mais provável que você encontre um pacote de aplicativo que carrega o Joker se você pescar pacotes de aplicativos .apk fora da loja oficial do Google Play, mas já houve instâncias suficientes de aplicativos na loja oficial com o Joker também. A Zimperium afirmou que, ao longo dos últimos quatro anos, um total de 1.800 aplicativos contendo o Joker foram retirados da Google Play Store.
Apesar das várias ondas de remoções, os agentes mal-intencionados por trás do Joker continuam ajustando e melhorando o malware e, embora os aplicativos infestados de malware nunca consigam sobreviver a varreduras de segurança por muito tempo, o simples fato de que algo como o Joker continua voltando mostra o quão persistente e teimosos os hackers por trás disso são.
Um dos truques mais recentes que o Joker usa para evitar a detecção, tanto localmente em dispositivos quanto na Play Store, é colocar a carga dentro de um arquivo .dex que é ofuscado por criptografia ou armazenado dentro de um arquivo de imagem usando técnicas de esteganografia. A cereja do bolo é que o arquivo de imagem também pode ser hospedado em um serviço de nuvem remoto legítimo ou mesmo nos servidores de comando e controle do malware.
O Joker também pode verificar se o ambiente em que pousou é um emulador usado para sandbox e pesquisa.
