Il malware Joker bypassa i controlli del Google Play Store per spiare e frodare le vittime

I criminal hacker sono riusciti di nuovo ad eludere i sistemi di sicurezza del Google Play Store e a diffondere una nuova variante del famigerato malware Joker (noto anche con il nome di Bread), utilizzato per commettere frodi informatiche ai danni delle ignare vittime.

Identificato per la prima volta nel 2017, Joker è un famigerato spyware con funzionalità di dialer che può accedere alle notifiche che arrivano sullo smartphone della vittima ed è in grado anche di leggere e inviare messaggi SMS in modo autonomo.

Secondo i ricercatori di Check Point Software Technologies che hanno individuato la nuova variante del malware, queste capacità vengono utilizzate da Joker per far attivare abbonamenti a servizi premium all’insaputa delle vittime.

La gravità della minaccia è confermata da Google stessa, che l’ha classificata come una delle più persistenti degli ultimi anni. Il malware, infatti, è in grado di sfruttare tecniche di cloaking (cioè tecniche di occultamento e offuscamento che usano particolari script per camuffare il reale contenuto di un sito Internet o, come nel caso del malware Joker, di un’app), per nascondersi nel tentativo di passare inosservato.

I dettagli tecnici della nuova variante di Joker

In particolare, per mascherare la vera natura del malware Joker, gli autori della minaccia informatica hanno fatto ricorso a una varietà di metodi: dalla crittografia usata per nascondere le stringhe malevoli ai motori di analisi, alle recensioni fasulle sul Play Store per attirare gli utenti a scaricare le app malevoli usate per diffondere il malware.

Nelle varianti più recenti di Joker, inoltre, i criminal hacker hanno sfruttato anche la tecnica cosiddetta del versioning che consiste nel caricare sul Play Store una versione “pulita” dell’app malevola per creare fiducia tra gli utenti e poi aggiungere furtivamente codice dannoso in una fase successiva tramite gli aggiornamenti dell’app stessa.

In quest’ultima variante, il malware Joker è in grado di nascondere codice dannoso all’interno del file AndroidManifest che accompagna tutte le app per il sistema operativo mobile di Google e che viene archiviato all’interno della directory principale di installazione.

Questo file fornisce al sistema Android informazioni essenziali sull’app, come nome, icona e permessi, che il sistema deve ricevere prima di poter eseguire qualsiasi codice. In questo modo, il malware non aveva bisogno di accedere a un server di controllo e comando (C&C) per ricevere ulteriori istruzioni e per scaricare il payload necessario ad eseguire l’azione dannosa vera e propria.

I ricercatori Check Point hanno quindi individuato tre fasi operative nella catena infettiva del malware Joker:
1. creare prima il payload: Joker costruisce il suo payload in anticipo, inserendolo nel file “Android Manifest”;
2. saltare il caricamento del payload: durante il tempo di valutazione, Joker non tenta nemmeno di caricare il payload dannoso, il che rende molto più facile bypassare le protezioni di Google Play Store;
3. diffondere il malware: dopo il periodo di valutazione e dopo l’approvazione dell’app, la campagna malevola inizia a funzionare e il payload viene caricato sul dispositivo dell’ignara vittima.

Si tratta di una procedura semplice quanto sofisticata che evidenzia come i criminal hacker siano riusciti ad adattare il malware Joker per consentirgli di bypassare i controlli di sicurezza del Play Store che Google ha aggiornato nel tempo.

È quanto ci conferma anche Pierluigi Torriani, Security Engineering Manager, Italy di Check Point, che afferma: “abbiamo trovato Joker nascosto nel file “informazioni essenziali” che ogni applicazione Android deve avere. Le nostre ultime scoperte indicano che le protezioni di Google Play Store non sono sufficienti. Siamo stati in grado di rilevare numerosi casi di upload di Joker su Google Play su base settimanale, tutti scaricati da utenti ignari”.

“Il malware Joker”, continua l’analista, “è difficile da rilevare, nonostante l’investimento di Google nell’aggiunta di protezioni dedicate al Play Store. Sebbene Google abbia rimosso le app dannose, possiamo aspettarci che Joker si adegui nuovamente. Tutti dovrebbero prendersi il tempo necessario per capire cos’è Joker e come può colpire la gente comune”.

Come difendersi da questa nuova minaccia

I ricercatori di sicurezza hanno ovviamente divulgato le scoperte in modo responsabile a Google, tanto che tutte le applicazioni malevoli segnalate (11 app, per l’esattezza) sono state rimosse dal Play Store lo scorso 30 aprile.

È molto probabile, però, che Joker torni nuovamente a colpire per cui è importante proteggersi adottando una soluzione di sicurezza per dispositivi mobile e seguendo alcune semplici regole di sicurezza informatica. In particolare, se sospettiamo di avere un’app infetta sul nostro dispositivo, dobbiamo: disinstallare immediatamente l’app presumibilmente infetta; controllare le fatture di smartphone e carta di credito per vedere se siamo stati registrati a eventuali abbonamenti e, se possibile, revocarli.

 

Fonte: CyberSecurity360