Joker è il malware che si nasconde nel file “informazioni essenziali” che ogni app Android deve avere, facendo abbonare le vittime ignare a servizi premium.

Joker
Joker

I ricercatori di Check Point Software Technologies hanno segnalato che il famigerato malware, Joker, continua ad eludere le protezioni di Google Play Store e commettere frodi a insaputa delle proprie vittime. Rintracciato per la prima volta nel 2017, Joker è uno spyware e un dialer che può accedere alle notifiche, leggere e inviare SMS in modo autonomo. Queste capacità vengono utilizzate per attivare abbonamenti a dei servizi premium all’oscuro delle vittime. Google ha descritto questa operazione come una delle minacce più persistenti, affermando che il malware “utilizza praticamente ogni tecnica di cloaking, per nascondersi nel tentativo di passare inosservato.”

Recentemente, Joker stava sfruttando un nuovo metodo

Questa volta, il malware Joker nascondeva un codice dannoso all’interno del file “Android Manifest” di un’app regolare. Ogni app deve avere un file “Android Manifest” nella sua directory principale. Questo file fornisce ad Android informazioni essenziali, come nome, icona e permessi, che il sistema deve ricevere prima di poter eseguire qualsiasi codice. In questo modo, il malware non aveva bisogno di accedere a un server C&C, un computer controllato da un cybercriminale, per scaricare il payload, ossia la parte che esegue l’azione dannosa.

I ricercatori hanno delineato il metodo Joker in tre fasi:

  1. Creare il payload.Joker costruisce il suo payload in anticipo, inserendolo nel file “Android Manifest”.
  2. Saltare il caricamento del payload.Durante il tempo di valutazione, questo malware non tenta di caricare il payload dannoso, il che rende molto più facile bypassare le protezioni di Google Play Store.
  3. Diffondere il malware. Dopo l’approvazione, la campagna inizia a funzionare e il payload dannoso viene deciso e caricato.

A tal proposito, Pierluigi Torriani, Security Engineering Manager Italy, afferma:

“Il malware Joker è difficile da rilevare, nonostante l’investimento di Google nell’aggiunta di protezioni dedicate al Play Store. Sebbene Google abbia rimosso le app dannose, possiamo aspettarci che Joker si adegui nuovamente. Tutti dovrebbero prendersi il tempo necessario per capire cos’è Joker e come può colpire la gente comune.”

Comunicazione responsabile

I ricercatori hanno divulgato le scoperte a Google. Tutte le applicazioni segnalate (11 app) sono state rimosse dal Play Store entro il 30 aprile 2020. Check Point è certa che Joker tornerà e, quindi, è importante proteggersi con una soluzione mobile.

Come rimanere protetti

Se sospettate di avere una di queste applicazioni infette sul dispositivo, ecco cosa dovreste fare:

  • Disinstallare l’app presumibilmente infetta.
  • Controllare le fatture di smartphone e carta di credito per vedere se siete stati registrati a eventuali abbonamenti e, se possibile, cancellateli.
  • Installare una soluzione di sicurezza per prevenire future infezioni.