Google retira 17 apps infectadas por el malware Joker con hasta 120.000 descargas

Recomendados:  La persistencia del ransomware Webinar Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar

Joker es una de las familias de malware más destacadas que constantemente ataca a los dispositivos Android. Este software espía está diseñado para robar mensajes SMS, listas de contactos e información de los dispositivos, además de espiar silenciosamente a la víctima en servicios premium de protocolo de aplicaciones inalámbricas (WAP).

A pesar de que es bien conocido, se sigue introduciendo en el tienda oficial de aplicaciones de Google mediante el empleo de cambios en su código, métodos de ejecución o técnicas de recuperación de carga útil. Por ejemplo, Zscaler ThreatLabZ, el equipo de investigación de Zscaler, ha descubierto cargas periódicas del malware en la tienda de Google Play. Concretamente, identificó 17 aplicaciones maliciosas subidas a Google Play en septiembre de 2020, las cuales tuvieron un total de alrededor de 120.000 descargas. Entre ellas están All Good PDF Scanner, Unique Keyboard - Fancy Fonts & Free Emoticons, Direct Messenger, Private SMS y Style Photo Collage. El equipo de seguridad de Android de Google, una vez que fue informado por Zscaler, tomó medidas para eliminar las aplicaciones sospechosas.

En algunas de las variantes de Joker, la carga útil era entregada a través de una URL directa recibida del servidor de comando y control (C&C). En esta variante, la aplicación infectada de la tienda de Google Play tiene la dirección de C&C oculta en el propio código con ofuscación de cadenas. Una vez instalada, la aplicación infectada contacta con el servidor de C&C, que responde con la URL de una carga útil. Este archivo JSON también tiene la información relacionada con el nombre de la clase que debe ser ejecutada desde la carga final para realizar todas las actividades maliciosas.

En otras aplicaciones, para recuperar la carga útil la aplicación de Google Play infectada utiliza un stager payload o descarga escalonada. Aquí la aplicación infectada de la tienda de Google Play tiene la URL de la carga útil codificada en el propio código, encriptado con el Estándar de Cifrado Avanzado (AES). Al infectarse, descarga la carga útil del juego en lugar de una carga útil final. El trabajo de esta carga útil es sencillamente recuperar la URL de la carga útil final del código y descargarla. Al ejecutarse, se descarga la carga útil, que es el malware del Joker que realiza todas tipo de actividades de infección, desde suscripción a servicios SMS premium hasta actividades de spyware.

En algunos grupos de aplicaciones infectadas de Google Play, vimos descargas de payload de dos etapas utilizadas para recuperar la carga útil final. En este caso, la aplicación infectada de Google Play descarga la carga útil de la etapa uno, que descarga la carga útil de la etapa dos, que finalmente carga el payload final de Joker.

Aunque estas variaciones fueron usadas por el Joker para llegar a la carga final, la misma carga final se descargó en todos los casos.

Desde Zscaler recomiendan siempre prestar mucha atención a la lista de permisos de las aplicaciones que se instalen en un dispositivo Android, sobre todo a los permisos relativos a los SMS, registros de llamadas, contactos y más. La lectura de los comentarios o reseñas en la página de la aplicación también ayuda a identificar aquellas aplicaciones comprometidas.