App Android dannose che ospitano il malware Joker sono state scoperte nel Google Play Store.
Martedì, i ricercatori di sicurezza informatica di ThreatLabz di Zscaler hanno affermato che un totale di 11 app sono state scoperte di recente e sono state “caricate regolarmente” nel repository ufficiale delle app, per un totale di circa 30.000 installazioni.
La famiglia di malware Joker è una variante ben nota che si concentra sulla compromissione dei dispositivi Android. Joker è progettato per spiare le sue vittime, rubare informazioni, raccogliere elenchi di contatti e monitorare la messaggistica SMS.
Quando app dannose contenenti Joker atterrano su un telefono, possono essere utilizzate per condurre frodi finanziarie, ad esempio inviando di nascosto messaggi di testo a numeri a pagamento o iscrivendo le vittime a servizi WAP (Wireless Application Protocol), guadagnando ai loro operatori una fetta del ricavo.
Joker abusa anche dei sistemi di avviso Android chiedendo il permesso di leggere tutte le notifiche. Se concesso dall'utente, questo consente al malware di nascondere le notifiche relative alle iscrizioni fraudolente al servizio.
L'ultima serie di applicazioni mobili offensive include “Translate Free”, “PDF Converter Scanner”, “Free Affluent Message” e “delux Keyboard”.
Complessivamente, negli ultimi due mesi e mezzo sono stati rilevati oltre 50 payload Joker nelle app Android, con utilità, salute e personalizzazione del dispositivo tra le principali categorie di app prese di mira.
zScaler
Secondo i ricercatori, gli operatori di Joker cambiano costantemente i loro metodi per aggirare i meccanismi di sicurezza e i processi di controllo di Google Play.
“Nonostante la consapevolezza pubblica di questo particolare malware, continua a farsi strada nel mercato delle applicazioni ufficiali di Google utilizzando modifiche al codice, ai metodi di esecuzione o alle tecniche di recupero del payload”, affermano i ricercatori.
Abbiamo visto alcuni operatori di malware in passato utilizzare aggiornamenti dannosi per distribuire trojan su app che all'inizio sembravano benigne, ma nel caso di Joker, i servizi di abbreviazione degli URL sembrano essere i preferiti per recuperare i payload iniziali.
“A differenza della campagna precedente in cui i payload venivano recuperati dal cloud Alibaba, in questa campagna abbiamo visto le app infette da Joker scaricare il payload mediatore con servizi di accorciamento URL come TinyURL, bit.ly, Rebrand.ly, zws.im o 27url. cn per nascondere gli URL noti del servizio cloud che servono i payload della fase”, afferma ThreatLabz.
Negli ultimi mesi sono state rilevate sia una vecchia che una nuova variante di Joker. Nel secondo caso, la tattica di accorciamento degli URL è stata utilizzata anche per scaricare ed eseguire payload della seconda e ultima fase.
Un punto di interesse è che in alcuni campioni, le app dannose verificheranno prima la presenza di altre quattro app disponibili in Google Play e, se vengono trovate, il malware non distribuirà payload aggiuntivi. Al momento in cui scriviamo, due di queste app sono state rimosse.
“Dalle categorie di app elencate e dai nomi degli sviluppatori presumiamo che si tratti di nuovo di app relative a Joker che possono essere utilizzate per valutare i dispositivi infetti”, ha osservato il team.
ThreatLabz afferma che la prevalenza del malware Joker, la costante evoluzione delle tattiche di attacco e il numero di payload costantemente caricati nei repository delle app rivelano che gli autori del malware “riuscendo” costantemente a bypassare le restrizioni di controllo e i controlli di sicurezza.
Tuttavia, Google prende sul serio le segnalazioni di app dannose e, come in questo caso, ha rapidamente rimosso le app offensive di Joker da Google Play.
Nelle notizie correlate di questa settimana, Atlas VPN ha pubblicato una ricerca sullo stato della sicurezza di Android. Secondo il team, oltre il 60% delle app Android contiene vulnerabilità, con una media di 39 bug per applicazione.
Copertura precedente e correlata
Con un aggiornamento, questa app Android dannosa ha dirottato milioni di dispositivi
Questo malware Android per il furto di password si sta diffondendo rapidamente: ecco a cosa prestare attenzione
Questo Il malware trojan Android utilizza app false per infettare smartphone, rubare dati bancari
Hai un suggerimento? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Mobility Security TV Data Management CXO Data Center 