I ricercatori di Check Point Software Technologies hanno svelato che il noto malware Joker, individuato nel 2017, continua ad aggirare le protezioni di Google Play Store
Infatti, Joker continua a commettere frodi a insaputa delle proprie vittime.
Rintracciato per la prima volta nel 2017, Joker è uno spyware e un dialer che può accedere alle notifiche, leggere e inviare SMS in modo autonomo. Queste capacità vengono utilizzate per far attivare abbonamenti a dei servizi premium all’insaputa delle vittime. Google ha descritto questa operazione del malware come una delle minacce più persistenti che abbia dovuto affrontare nel corso degli ultimi anni, affermando che il malware “utilizza praticamente ogni tecnica di cloaking nota, per nascondersi nel tentativo di passare inosservato.»
Questa volta, il malware Joker nascondeva codice dannoso all’interno di quello che viene chiamato il file “Android Manifest” di un’app regolare. Ogni app deve avere un file “Android Manifest” nella sua directory principale. Questo file fornisce al sistema Android informazioni essenziali su un’app, come nome, icona e permessi, che il sistema deve ricevere prima di poter eseguire qualsiasi codice. In questo modo, il malware non aveva bisogno di accedere a un server C&C – computer controllato da un cybercriminale utilizzato per inviare comandi a sistemi compromessi dal malware – per scaricare il payload, la parte di malware che esegue l’azione dannosa.
I ricercatori di Check Point Software Technologies hanno delineato il nuovo metodo Joker in tre fasi: durante la prima Joker costruisce il suo payload in anticipo, inserendolo nel file “Android Manifest”. In secondo luogo, durante il tempo di valutazione, Joker non tenta nemmeno di caricare il payload dannoso, il che rende molto più facile bypassare le protezioni di Google Play Store.
Infine, dopo il periodo di valutazione, dopo l’approvazione, la campagna inizia a funzionare, il payload dannoso viene deciso e caricato.
I ricercatori hanno divulgato le scoperte in modo responsabile a Google. Tutte le applicazioni segnalate (11 app) sono state rimosse dal Play Store entro il 30 aprile 2020. Check Point è certa che Joker tornerà, quindi è importante proteggersi con una soluzione mobile.
Se sospettate di avere una di queste app infette sul dispositivo, dovreste disinstallare l’app presumibilmente infetta, controllare le fatture di smartphone e carta di credito per vedere se siete stati registrati a eventuali abbonamenti e, se possibile, cancellateli e per finire installare una soluzione di sicurezza per prevenire future infezioni.
