Joker malware si trova nel play store
Il malware Joker originale è stato identificato su Play Store nel settembre 2019.
Android si trova ad affrontare una moltitudine di famiglie di malware ostili che di tanto in tanto cercano di trovare la via del ritorno. Uno di questi tipi di malware è il Joker, che in passato è stato anche sorpreso a ingannare gli utenti ad abbonarsi a servizi premium senza il loro consenso.
Questa volta è tornato a fare lo stesso, anche se con una tecnica diversa per eludere i filtri di sicurezza di Google. Questo è allarmante per gli utenti Android, visto che proprio ieri è stato segnalato che il pericoloso trojan bancario Cerberus è stato trovato anche su Google Play Store.
La nuova variante, segnalata da Checkpoint, si avvale di un paio di componenti per fare il suo lavoro: un servizio di notification listener che fa parte delle applicazioni legittime e un "file dex dinamico" che recupera dal suo server C2 per far sì che gli utenti si iscrivano con successo.
Secondo i ricercatori, una nuova tecnica in gioco in questa variante è proprio questa,
"Ora nasconde il file dex dannoso all'interno dell'applicazione come stringhe codificate in Base64, pronte per essere decodificate e caricate".
Un altro aspetto interessante in questo è che, a differenza di prima, il file dex viene anche recuperato con l'aiuto del file Manifest che è presente all'interno di ogni applicazione.
Inoltre, i ricercatori affermano che è stata individuata anche un'altra variante "in-between" che, secondo loro, "ha utilizzato la tecnica di nascondere il file .dex come stringhe Base64 - ma invece di aggiungere le stringhe al file Manifest, le stringhe si trovavano all'interno di una classe interna dell'applicazione principale.
In questo caso, tutto ciò che serviva perché il codice maligno venisse eseguito era leggere le stringhe, decodificarle da Base64 e caricarlo con la riflessione".
Le applicazioni infette includono quanto segue nella tabella riportata di seguito. Si può verificare se hanno installato una di queste app esaminando i nomi dei pacchetti. Per gli utenti che lo hanno fatto, si raccomanda di disinstallare l'applicazione e di controllare anche gli estratti conto della carta di credito/debito per eventuali addebiti non autorizzati.
In conclusione, per il futuro, né noi né Google abbiamo risposte su come evitare che il malware in evoluzione penetri nelle applicazioni legittime nonostante la crescente sicurezza in atto. L'unica soluzione sembra essere la vigilanza dell'utente, che abbiamo già sottolineato più volte.
Utilizzate un software antivirus affidabile, scansionate regolarmente il vostro dispositivo ed evitate di scaricare applicazioni non necessarie da Play Store e da piattaforme di terze parti. Controllate sempre l'autenticità delle recensioni delle app, la reputazione dello sviluppatore e altri dettagli come il numero totale di installazioni prima di far entrare un'app sul vostro dispositivo.
spero che questo articolo vi sia piaciuto, noi ci vedremo ad un prossimo articolo.
