MALWARE ANDROID

Joker, il malware che bypassa i controlli del Play Store e spia le vittime, è di nuovo attivo: i dettagli

Sul Google Play Store sono state individuate altre 17 app infette da Joker, il malware che si nasconde all’interno del file Android Manifest che accompagna tutte le app, spia le vittime e le abbona di nascosto a servizi premium. Ecco tutti i dettagli e i consigli per difendersi

28 Set 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Joker, il famigerato malware per Android (noto anche con il nome di Bread) capace di eludere i sistemi di sicurezza del Google Play Store, è di nuovo attivo e i cyber criminali lo stanno utilizzando per commettere frodi informatiche ai danni delle ignare vittime.

In pratica, utilizzando la tecnica del WAP fraud basata sullo standard WAP (Wireless Application Protocol) e sfruttando alcune app Android molto popolari infettate proprio dal malware Joker, i criminal hacker riescono a sottrarre denaro dal conto telefonico della vittima iscrivendola a servizi con abbonamenti premium gestiti ovviamente dai criminali stessi.

Come se non bastasse, la nuova variante di Joker è anche in grado di leggere i messaggi SMS della vittima, la sua lista dei contatti, accedere a foto e video e molto altro.

A scoprire la nuova variante di Joker sono stati gli analisti di ZScaler che, durante le loro ricerche, hanno individuato ben 17 app infette:

  • All Good PDF Scanner
  • Mint Leaf Message-Your Private Message
  • Unique Keyboard – Fancy Fonts & Free Emoticons
  • Tangram App Lock
  • Direct Messenger
  • Private SMS
  • One Sentence Translator – Multifunctional Translator
  • Style Photo Collage
  • Meticulous Scanner
  • Desire Translate
  • Talent Photo Editor – Blur focus
  • Care Message
  • Part Message
  • Paper Doc Scanner
  • Blue Scanner
  • Hummingbird PDF Converter – Photo to PDF
  • All Good PDF Scanner

Le app, prontamente segnalate a Google, sono state già rimosse dal Play Store ma questo non ci mette al riparo da possibili attività criminali di cyber spionaggio: il consiglio, qualora le avessimo già installate sui nostri dispositivi mobile, è dunque quello di rimuoverle subito.

Joker: uno dei malware più pericolosi per Android

Identificato per la prima volta nel 2017, Joker può dunque essere classificato come uno spyware con funzionalità di dialer che può accedere alle notifiche che arrivano sullo smartphone della vittima e, come dicevamo, è in grado anche di leggere e inviare messaggi SMS in modo autonomo.

L’ultima variante identificata di Joker risale al luglio scorso quando, su segnalazione dei ricercatori di Check Point Software Technologies, furono eliminate dal Play Store altre 11 applicazioni infette.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

La gravità della minaccia è confermata da Google stessa, che l’ha classificata come una delle più persistenti degli ultimi anni. Il malware, infatti, è in grado di sfruttare tecniche di cloaking (cioè tecniche di occultamento e offuscamento che usano particolari script per camuffare il reale contenuto di un sito Internet o, come nel caso del malware Joker, di un’app), per nascondersi nel tentativo di passare inosservato.

I dettagli tecnici delle varianti di Joker

In particolare, per mascherare la vera natura del malware Joker, gli autori della minaccia informatica hanno fatto ricorso a una varietà di metodi: dalla crittografia usata per nascondere le stringhe malevoli ai motori di analisi, alle recensioni fasulle sul Play Store per attirare gli utenti a scaricare le app malevoli usate per diffondere il malware.

Nelle varianti più recenti di Joker, inoltre, i criminal hacker hanno sfruttato anche la tecnica cosiddetta del versioning che consiste nel caricare sul Play Store una versione “pulita” dell’app malevola per creare fiducia tra gli utenti e poi aggiungere furtivamente codice dannoso in una fase successiva tramite gli aggiornamenti dell’app stessa.

In quest’ultima variante, il malware Joker è in grado di nascondere codice dannoso all’interno del file AndroidManifest che accompagna tutte le app per il sistema operativo mobile di Google e che viene archiviato all’interno della directory principale di installazione.

Questo file fornisce al sistema Android informazioni essenziali sull’app, come nome, icona e permessi, che il sistema deve ricevere prima di poter eseguire qualsiasi codice. In questo modo, il malware non aveva bisogno di accedere a un server di controllo e comando (C&C) per ricevere ulteriori istruzioni e per scaricare il payload necessario ad eseguire l’azione dannosa vera e propria.

I ricercatori Check Point hanno quindi individuato tre fasi operative nella catena infettiva del malware Joker:

  1. creare prima il payload: Joker costruisce il suo payload in anticipo, inserendolo nel file “Android Manifest”;
  2. saltare il caricamento del payload: durante il tempo di valutazione, Joker non tenta nemmeno di caricare il payload dannoso, il che rende molto più facile bypassare le protezioni di Google Play Store;
  3. diffondere il malware: dopo il periodo di valutazione e dopo l’approvazione dell’app, la campagna malevola inizia a funzionare e il payload viene caricato sul dispositivo dell’ignara vittima.

Si tratta di una procedura semplice quanto sofisticata che evidenzia come i criminal hacker siano riusciti ad adattare il malware Joker per consentirgli di bypassare i controlli di sicurezza del Play Store che Google ha aggiornato nel tempo.

È quanto ci conferma anche Pierluigi Torriani, Security Engineering Manager, Italy di Check Point, che afferma: “abbiamo trovato Joker nascosto nel file “informazioni essenziali” che ogni applicazione Android deve avere. Le nostre ultime scoperte indicano che le protezioni di Google Play Store non sono sufficienti. Siamo stati in grado di rilevare numerosi casi di upload di Joker su Google Play su base settimanale, tutti scaricati da utenti ignari”.

“Il malware Joker”, continua l’analista, “è difficile da rilevare, nonostante l’investimento di Google nell’aggiunta di protezioni dedicate al Play Store. Sebbene Google abbia rimosso le app dannose, possiamo aspettarci che Joker si adegui nuovamente. Tutti dovrebbero prendersi il tempo necessario per capire cos’è Joker e come può colpire la gente comune”.

Come difendersi da questa nuova minaccia

I ricercatori di sicurezza hanno ovviamente divulgato le scoperte in modo responsabile a Google, tanto che tutte le applicazioni malevoli segnalate (11 app, per l’esattezza) sono state rimosse dal Play Store lo scorso 30 aprile.

Una delle app malevoli usata per diffondere il malware Joker sul Google Play Store.

È molto probabile, però, che Joker torni nuovamente a colpire per cui è importante proteggersi adottando una soluzione di sicurezza per dispositivi mobile e seguendo alcune semplici regole di sicurezza informatica. In particolare, se sospettiamo di avere un’app infetta sul nostro dispositivo, dobbiamo:

  1. disinstallare immediatamente l’app presumibilmente infetta;
  2. controllare le fatture di smartphone e carta di credito per vedere se siamo stati registrati a eventuali abbonamenti e, se possibile, revocarli.

Articolo pubblicato il 9 luglio 2020 e aggiornato dopo la scoperta della nuova variante del malware Joker.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5