“Joker”, el malware que lo suscribe a servicios costosos, inunda los mercados de Android


Septiembre ha sido un mes ajetreado para las aplicaciones maliciosas de Android, con docenas de ellas de una sola familia de malware que inundan Google Play o los mercados de terceros, dijeron investigadores de compañías de seguridad.

Conocida como Joker, esta familia de aplicaciones maliciosas ha atacado a los usuarios de Android desde finales de 2016 y, más recientemente, se ha convertido en una de las amenazas de Android más comunes. Una vez instaladas, las aplicaciones de Joker suscriben en secreto a los usuarios a costosos servicios de suscripción y también pueden robar mensajes SMS, listas de contactos e información del dispositivo. En julio pasado, los investigadores dijeron que encontraron a Joker al acecho en 11 aplicaciones aparentemente legítimas descargado de Play unas 500.000 veces.

A fines de la semana pasada, los investigadores de la empresa de seguridad Zscaler dijeron que encontró un nuevo lote que comprende 17 aplicaciones contaminadas con Joker con 120.000 descargas. Las aplicaciones se cargaron en Play gradualmente durante el mes de septiembre. La firma de seguridad Zimperium, mientras tanto, informó el lunes Los investigadores de esa compañía encontraron 64 nuevas variantes de Joker en septiembre, la mayoría de las cuales fueron sembradas en tiendas de aplicaciones de terceros.

Y como ZDNet señaló, investigadores de las firmas de seguridad Pradeo y Anquanke encontraron más brotes de Joker este mes y julio, respectivamente. Anquanke dijo que había encontrado más de 13.000 muestras desde que salió a la luz por primera vez en diciembre de 2016.

“Joker es una de las familias de malware más importantes que se dirige continuamente a los dispositivos Android”, escribió el investigador de Zscaler, Viral Gandhi, en la publicación de la semana pasada. “A pesar del conocimiento de este malware en particular, sigue encontrando su camino en el mercado oficial de aplicaciones de Google al emplear cambios en su código, métodos de ejecución o técnicas de recuperación de carga útil”.

Juego de manos digital

Una de las claves del éxito de Joker es su forma indirecta de ataque. Las aplicaciones son imitaciones de aplicaciones legítimas y, cuando se descargan de Play o de un mercado diferente, no contienen ningún código malicioso más que un “cuentagotas”. Después de un retraso de horas o incluso días, el cuentagotas, que está muy ofuscado y contiene solo unas pocas líneas de código, descarga un componente malicioso y lo coloca en la aplicación.

Zimperium proporcionó un diagrama de flujo que captura los cuatro puntos de pivote que usa cada muestra de Joker. El malware también emplea técnicas de evasión para disfrazar componentes de descarga como aplicaciones benignas como juegos, fondos de pantalla, mensajeros, traductores y editores de fotos.

Zimperium

Las técnicas de evasión incluyen cadenas codificadas dentro de las muestras donde una aplicación debe descargar una dex, que es una Archivo nativo de Android que comprende el paquete APK, posiblemente junto con otros dexes. Los dexes se disfrazan como archivos mp3 .css o .json. Para ocultarse aún más, Joker utiliza la inyección de código para ocultarse entre paquetes legítimos de terceros, como org.junit.internal, com.google.android.gms.dynamite o com.unity3d.player.UnityProvider, ya instalados en el teléfono.

“El propósito de esto es dificultar que el analista de malware detecte el código malicioso, ya que las bibliotecas de terceros generalmente contienen una gran cantidad de código y la presencia de ofuscación adicional puede dificultar aún más la tarea de detectar las clases inyectadas”. El investigador de Zimperium, Aazim Yaswant, escribió. “Además, el uso de nombres de paquetes legítimos derrota a los ingenuos [blocklisting] intentos, pero nuestro motor de aprendizaje automático z9 permitió a los investigadores detectar de forma segura los trucos de inyección mencionados anteriormente “.

El informe de Zscaler detalla tres tipos de técnicas posteriores a la descarga para evitar el proceso de verificación de aplicaciones de Google: descargas directas, descargas de una etapa y descargas de dos etapas. A pesar de las variaciones de entrega, la carga útil final fue la misma. Una vez que una aplicación ha descargado y activado la carga útil final, la aplicación de imitación tiene la capacidad de usar la aplicación de SMS del usuario para registrarse en suscripciones premium.

Un portavoz de Google se negó a comentar, aparte de señalar que Zscaler informó que la compañía eliminó las aplicaciones una vez que se informaron de forma privada.

Día tras día

Con aplicaciones maliciosas que se infiltran en Play de forma regular, a menudo semanal, actualmente hay pocos indicios de que el flagelo de las aplicaciones maliciosas de Android disminuirá. Eso significa que depende de los usuarios finales individuales mantenerse alejados de aplicaciones como Joker. El mejor consejo es ser extremadamente conservador con las aplicaciones que se instalan en primer lugar. Un buen principio rector es elegir aplicaciones que sirvan a un propósito real y, cuando sea posible, elegir desarrolladores que sean entidades conocidas. Las aplicaciones instaladas que no se hayan utilizado en el último mes deben eliminarse a menos que haya una buena razón para mantenerlas.

El uso de una aplicación AV de Malwarebytes, Eset, F-Secure u otro fabricante de renombre también es una opción, aunque ellos también pueden tener dificultades para detectar Joker u otro malware.

Latest articles

Más maniobras en el caso de pensión de Kentucky, Mayberry v. KKR

Una breve actualización sobre Mayberry v. KKR, una demanda de pensión pública pionera dirigida a fondos de cobertura personalizados diseñados para los Kentucky...

Jirafa recién nacida muere en el zoológico de Nashville después de que su madre la pisara accidentalmente

Una jirafa recién nacida en el zoológico de Nashville murió el sábado después de que su madre la pisara accidentalmente. "Estamos devastados por la...

Mitsubishi and Tokyo Tech create blockchain system for P2P energy trading

Mitsubishi Electric se ha asociado con investigadores de la prestigiosa universidad japonesa, Tokyo Tech, para diseñar conjuntamente un sistema de comercio basado en...

Related articles

Leave a reply

Please enter your comment!
Please enter your name here

Translate »