E’ tornato Joker, il malware che attiva in automatico servizi a pagamento

Già nel 2017 Google aveva iniziato a tracciare il malware Bread, anche conosciuto come Joker, un programma malevolo nascosto dentro le applicazioni con fini fraudolenti.

Nelle prime versioni il malware operava tramite SMS attivando dei meccanismi automatici che inviavano senza consenso dell’utente dei messaggi di testo atti ad attivare dei servizi a pagamento.

Dopo le misure intraprese da Google sul Play Store quali l’introduzione di nuove Policy di sicurezza e l’estensione del raggio di azione del servizio Google Play Protect, è nata una seconda variante di Joker, che utilizza invece le pagine web come mezzo per procedere all’abbonamento involontario a contenuti premium extra.

Il codice malevolo viene nascosto all’interno delle app seguendo diverse strategie quali l’obfuscation delle API, la cifratura (standard o personalizzata) o lo string splitting (suddivisione delle stringhe che invocano le funzioni necessarie per finalizzare la frode).

In particolare dunque Bread (o Joker) si può definire uno spyware e un dialer, ovvero un malware che può sia accedere alle notifiche che leggere e inviare SMS in modo autonomo.

Adesso però, dopo esser stato apparentemente contrastato, il malware è tornato eludendo le protezioni di Google Play Store, come segnalato anche dai ricercatori di Check Point Software Technologies.

Pierluigi Torriani, Security Engineering Manager, Italy ha affermato:

Joker si è adattato. Lo abbiamo trovato nascosto nel file informazioni essenziali che ogni applicazione Android deve avere. Le nostre ultime scoperte indicano che le protezioni di Google Play Store non sono sufficienti. Siamo stati in grado di rilevare numerosi casi di upload di Joker su Google Play su base settimanale, tutti scaricati da utenti ignari. Il malware Joker è difficile da rilevare, nonostante l’investimento di Google nell’aggiunta di protezioni dedicate al Play Store. Sebbene Google abbia rimosso le app dannose, possiamo aspettarci che Joker si adegui nuovamente. Tutti dovrebbero prendersi il tempo necessario per capire cos’è Joker e come può colpire la gente comune.

In particolare sono state segnalate a Google 11 applicazioni, le quali risultano tutte rimosse dal Play Store già dal 30 Aprile 2020.

Come riportato dai ricercatori, stavolta lo spyware era nascosto all’interno dell’Android Manifest, un file essenziale per le app in quanto fornisce al sistema del device in uso informazioni che deve ricevere prima di poter eseguire qualsiasi codice come nome, icona e permessi di un programma.

Sono state delineate tre fasi principali nella vita di Joker: la costruzione del payload (contenuto) da inserire nell’Android Manifest, il salto del caricamento del codice durante la valutazione dell’app da parte dei servizi di Google per poter così bypassare i controlli di sicurezza e l’esecuzione e diffusione del malware dopo l’avvenuta approvazione del Play Store.

In questo modo non è nemmeno richiesto l’utilizzo di un computer controllato da un cybercriminale (server C&C) per inviare comandi all’app infetta in quanto la procedura è interamente automatizzata.

Per potersi mettere al sicuro da eventuali minacce, viene consigliato dagli specialisti di Check Point di controllare le fatture di smartphone e carta di credito così da notare ed eventualmente cancellare abbonamenti a servizi a pagamento non richiesti, disinstallare le app dichiarate infette e scaricare una soluzione di sicurezza mobile.

Per rimanere aggiornato sulle novità della telefonia seguici su Google News cliccando sulla stella, Telegram, Facebook, X e Instagram. Condividi le tue opinioni o esperienze nei commenti.