Joker: 17 app infette nello Store di Google

Per il controllo e la sicurezza delle app presenti sullo Store di Google è stato introdotto il Google Play Protect (GPP).

Questo servizio lavora su ogni device Android, effettuando una volta al giorno la scansione in background in cerca di applicazioni potenzialmente dannose (PHA) e nel caso venga individuata, una notifica chiede all’utente se vuole rimuoverla. Tutte le informazioni raccolte in fase di scansione vengono comunicate ai server di Google per migliorare l’efficacia del rilevamento.

Alla base di questo servizio vi è un sofisticato sistema di Machine Learning, che lavora in cloud e che effettua in modo autonomo su tutte le app caricate dagli sviluppatori, una ricerca di codice potenzialmente dannoso, prima di essere rese disponibili al download sullo Store.

Qualora durante questa fase di revisione l’analizzatore dei rischi rilevi qualcosa di sospetto, contrassegna l’app e la indirizza ad un analista della sicurezza di Google per la revisione manuale.

Nonostante Google Play Protect vigili costantemente analizzando oltre 100 miliardi di app ogni giorno , 17 app infette dal malware Joker sono state caricate sullo Store aggirando il processo di verifica e raggiungendo i 120.000 download.

Joker: il malware che bypassa le protezioni di Google Play Store

Nel nostro articolo del 9 luglio 2020, avevamo già incontrato questo famigerato malware che continua ad eludere le protezioni di Google Play Store, verificandone il comportamento volto ad addebitare abbonamenti attivando dei servizi premium all’insaputa delle vittime.

Sono stati individuati 3 differenti scenari che permettono al malware Joker di eludere le protezioni di Google:

In una delle varianti di Joker, il malware effettua il download del codice infetto (payload) contattando direttamente un server sterno (C&C), nascondendo l’indirizzo del server C&C tramite una tecnica di offuscamento.

In alcune app, il codice malevolo viene suddiviso in parti più piccole, il download suddiviso in intervalli di tempo differenti e ogni payload codificato con un sistema di crittografia AES (Advanced Encryption Standard, AES) per nascondere gli indirizzi dei server C&C. Questa tecnica chiamata Stage payload (payload a fasi), prevede la suddivisione del codice malevolo in parti più piccole, che vengono poi riassemblate, ed è spesso utilizzata per eludere il controllo antivirus. Inoltre utilizzando questa tecnica l’attaccante ha la possibilità di assemblare il codice combinando diversi malware o pacchetti Android (APK).

In altre app infette sul Google Play Store, il download del codice malevolo viene diviso in due fasi. Di fatto nella prima fase il codice scaricato ha soltanto il compito di scaricare un altro codice che contiene il payload (codice malevolo). Lo scopo di questo sistema è quello di mascherare l’indirizzo del server C&C. Solo il secondo download conterrà l’URL necessario per il recupero del payload finale, cioè quella parte di codice che viene poi utilizzata per eseguire le attività del malware.

Joker: 17 app infette nello Store di Google

Sono passati  solo due mesi da quando Joker aveva fatto parlare di se riuscendo a camuffarsi all’interno di 11 app infette sul Play Store di Google, Zscaler a settembre ha identificato 17 diversi campioni caricati.

Le applicazioni incriminate sono già state eliminate dallo Store e sono le seguenti:

• All Good PDF Scanner
• Mint Leaf Message-Your Private Message
• Unique Keyboard – Fancy Fonts & Free Emoticons
• Tangram App Lock
• Direct Messenger
• Private SMS
• One Sentence Translator – Multifunctional Translator
• Style Photo Collage
• Meticulous Scanner
• Desire Translate
• Talent Photo Editor – Blur focus
• Care Message
• Part Message
• Paper Doc Scanner
• Blue Scanner
• Hummingbird PDF Converter – Photo to PDF
• All Good PDF Scanner

Cosa fare se si è infetti dal malware Joker

La prima cosa da fare è disinstallare immediatamente l’app infetta, poi controllare gli eventuali addebiti o abbonamenti non richiesti da noi e revocarli contattando l’operatore telefonico.

Sono più che sicuro che purtroppo sentiremo ancora parlare di questo malware, nel frattempo cerchiamo di non farci trovare impreparati: facciamo ben attenzione a cosa scarichiamo sul nostro dispositivo android e prima di farlo, verifichiamo leggendo commenti e recensioni sulla pagina dell’app per comprendere se ci si può fidare o meno ricordandoci che la nostra prima arma è sempre il “buon senso”.