Il ben noto malware Joker si nasconde nel file โinformazioni essenzialiโ che ogni app Android deve avere, facendo abbonare le vittime ignare a servizi premium
I ricercatori di Check Point Software Technologies hanno segnalato che il famigerato malware, Joker, continua ad eludere le protezioni di Google Play Store, e a commettere frodi a insaputa delle proprie vittime. Rintracciato per la prima volta nel 2017, Joker รจ uno spyware e un dialer che puรฒ accedere alle notifiche, leggere e inviare SMS in modo autonomo.
Queste capacitร vengono utilizzate per far attivare abbonamenti a dei servizi premium all’insaputa delle vittime. Google ha descritto questa operazione del malware come una delle minacce piรน persistenti che abbia dovuto affrontare nel corso degli ultimi anni, affermando che il malware โutilizza praticamente ogni tecnica di cloaking nota, per nascondersi nel tentativo di passare inosservato.โ
Recentemente, Joker ha iniziato a sfruttare un nuovo metodo
Questa volta, il malware Joker nascondeva codice dannoso all’interno di quello che viene chiamato il file โAndroid Manifestโ di un’app regolare. Ogni app deve avere un file โAndroid Manifestโ nella sua directory principale. Questo file fornisce al sistema Android informazioni essenziali su un’app, come nome, icona e permessi, che il sistema deve ricevere prima di poter eseguire qualsiasi codice. In questo modo, il malware non aveva bisogno di accedere a un server C&C – computer controllato da un cybercriminale utilizzato per inviare comandi a sistemi compromessi dal malware – per scaricare il payload, la parte di malware che esegue l’azione dannosa.
I ricercatori hanno delineato il nuovo metodo Joker in tre fasi:
- Creare prima il payload: Joker costruisce il suo payload in anticipo, inserendolo nel file โAndroid Manifestโ.
- Saltare il caricamento del payload: durante il tempo di valutazione, Joker non tenta nemmeno di caricare il payload dannoso, il che rende molto piรน facile bypassare le protezioni di Google Play Store.
- Diffondere il malware: dopo il periodo di valutazione, dopo l’approvazione, la campagna inizia a funzionare, il payload dannoso viene deciso e caricato.
Pierluigi Torriani,ย Security Engineering Manager, Italy afferma:
โJoker si รจ adattato. Lo abbiamo trovato nascosto nel file โinformazioni essenzialiโ che ogni applicazione Android deve avere. Le nostre ultime scoperte indicano che le protezioni di Google Play Store non sono sufficienti. Siamo stati in grado di rilevare numerosi casi di upload di Joker su Google Play su base settimanale, tutti scaricati da utenti ignari. Il malware Joker รจ difficile da rilevare, nonostante l’investimento di Google nell’aggiunta di protezioni dedicate al Play Store. Sebbene Google abbia rimosso le app dannose, possiamo aspettarci che Joker si adegui nuovamente. Tutti dovrebbero prendersi il tempo necessario per capire cos’รจ Joker e come puรฒ colpire la gente comune.โ
Comunicazione responsabile
I ricercatori hanno divulgato le scoperte in modo responsabile a Google. Tutte le applicazioni segnalate (11 app) sono state rimosse dal Play Store entro il 30 aprile 2020, ma alcune sono ritornate. Check Point รจ certa che Joker tornerร piรน forte di prima, quindi รจ importante proteggersi con una soluzione mobile.
Come rimanere protetti
Se sospettate di avere una di queste app infette sul dispositivo, ecco cosa dovreste fare:
- Disinstallare l’app presumibilmente infetta.
- Controllare le fatture di smartphone e carta di credito per vedere se siete stati registrati a eventuali abbonamenti e, se possibile, cancellateli.
- Installare una soluzione di sicurezza per prevenire future infezioni.
Voi cosa ne pensate? Fateci sapere nei commenti e continuate a seguirci sulleย pagine di tuttoteKย per non perdevi le ultime novitร e non solo.ย ย
Lascia un commento