LOCALIZAN OCHO APLICACIONES DE PLAY STORE INFECTADAS CON EL MALWARE JOKER
El Joker ha vuelto. Quick Heal Security Labs, una de las empresas líder en investigación de amenazas, ciberseguridad y desarrollo de software de seguridad, ha notificado a través de su blog corporativo el hallazgo de ocho nuevas aplicaciones en el Play Store de Google infectadas con este malware.
El objetivo de los ciberdelincuentes que están detrás de estos ataques es acceder a toda la información de los teléfonos móviles de las víctimas. El ataque lo llevan a cabo a través de un virus troyano -denominado Joker-, que infecta el dispositivo cuando se descarga la aplicación, se integra en el sistema y roba toda la información que haya en el teléfono móvil. Una vez dentro del sistema, el malware identifica el país en el que se encuentra el terminal y entra en la infraestructura de mando y control del dispositivo con la finalidad de recibir la configuración cifrada. A continuación, descifra un archivo de tipo DEX y lo carga en el teléfono con el objetivo de robar toda la información del mismo sin que la víctima pueda darse cuenta.
Cuando el malware ya está en las entrañas del dispositivo comienza a extraer la información procedente de los mensajes de texto (SMS). También roba datos de la lista de contactos y de los ajustes generales del teléfono. Todo ello para comenzar a interactuar con webs de publicidad y ganar dinero suscribiendo a las víctimas en servicios premium sin su consentimiento.
Tal y como explican desde Quick Heal Security Labs, todas las aplicaciones ya han sido borradas del Play Store. En el momento en el que la empresa notificó a Google que había ocho aplicaciones infectadas, el gigante de Internet las retiró inmediatamente. Las aplicaciones son: Auxiliary Message, Fast Magic SMS, FreeCamScanner, Super Message, Element Scanner, Go Messages, Travel Wallpapers, Super SMS. A pesar de que ya no estén disponibles para descargarlas, las personas que ya las tuviesen instaladas deberán borrarlas por cuenta propia de su dispositivo y chequear su cuenta bancaria, ya que una vez instalada el malware ha infectado el dispositivo y es posible que se hayan realizado cargos no autorizados.
Para ver al detalle cómo trabaja el Joker, desde Quick Heal desgranan todo lo que pasaría si se instala de Element Scanner. Al principio, nada más instalarla, la app solicita tener acceso a las notificaciones para tener acceso a todos los datos del apartado de notificaciones. Esto quiere decir que todos los mensajes que recibamos a través de notificaciones podrán ser robados por el malware. Además, también solicita el acceso a los Contactos, si se concede el virus podrá hacer y administras permisos de llamadas telefónicas sin que la víctima se de cuenta ya que todas estas acciones se llevan acabo en un segundo plano, sin dejar rastro. Finalmente, teniendo dependiendo del país proveedor de la SIM del terminal, el malware comienza suscribir a la víctima en servicios de pago no autorizados: “Si el código del proveedor de la SIM comienza por 520, el país proveedor sería Tailandia, y es entonces cuando comienza a suscribir al usuario a servicios premium”, explican desde Quick Heal.
Fue en 2017 cuando saltó la primera alarma por este tipo de malware. Desde entonces los creadores de este malware han utilizado diferentes modus operandi como SMS Premium o facturación WAP, todo con el mismo objetivo: inscribir a la víctima en servicios de pago no deseados. Según ha podido saber Google los ciberdelincuentes al principio suben a la tienda una aplicación limpia de malware con valoraciones falsas. Cuando ven que las descargas de dicha aplicación comienzan a subir porque los usuarios consideran que es una app segura, lanzan una falsa actualización que sí contiene el malware y es entonces cuando infectan los dispositivos. Joker es de hecho un malware bastante activo, hasta el momento Google se ha visto obligado a eliminar un total de 1.700 aplicaciones infectadas con este malware.