16 app del play store hanno un pericolosissimo malware
Buongiorno cari lettori, oggi parleremo di 16 app sul play store che hanno al loro interno dei malware
Dopo aver rimosso sei app infettate dal malware Joker all'inizio di settembre, Google ha ora rimosso altre 16 app dal suo Play Store.
Il malware Joker, un ceppo di malware che si occupa di frode alla fatturazione, si è rivelato una minaccia persistente per Google Android. Nonostante gli sforzi incessanti dell'azienda, si trova ancora nelle app disponibili sul Play Store.
A settembre, Google ha rimosso sei app di questo tipo, che sono state infettate dal malware Joker, come identificato dalla società Pradeo cybersecurity. Queste app hanno avuto un totale di 200.000 download, ma nel luglio 2020, il malware Joker è stato nuovamente visto su Play Store.
Ora, secondo un rapporto della società di sicurezza informatica Zscaler, Google ha rimosso altre 16 applicazioni per lo stesso motivo. Queste applicazioni sono state caricate sul Play Store a settembre e hanno avuto 120.000 download.
Il Viral Gandhi di Zcaler ha spiegato che Joker è uno spyware in grado di simulare i clic. Si chiama fleeceware, progettato per rubare liste di contatti, messaggi SMS e informazioni sul dispositivo dal telefono, oltre ad abbonarsi discretamente ai "servizi premium wireless application protocol (WAP)".
Il malware Joker è difficile da rilevare poiché utilizza un codice minimo. I ricercatori di Zscaler hanno cercato di capire come mai rimane così evasivo e le sue variazioni di distribuzione del carico utile. Hanno imparato che nella maggior parte delle sue varianti il carico utile finale viene consegnato tramite un URL diretto, che il server C&C invia alle app. Le app hanno già l'indirizzo del server C&C nascosto nel loro codice con l'offuscamento delle stringhe.
Le apps hanno contattato il server C&C subito dopo l'installazione e hanno accettato l'URL contenente la configurazione del payload finale in un file JSON. Il file contiene anche informazioni sul nome della classe che deve essere eseguito dal payload. Dopo aver ricevuto la configurazione, l'app scarica ed esegue il payload finale.
Alcune app utilizzano meccanismi di download in un unico passaggio in cui l'URL di un payload stager criptato è codificato nel codice. Quindi, dopo aver infettato il dispositivo, invece di scaricare il carico utile finale, l'app scarica il carico utile stager criptato per recuperare il carico utile ed eseguirlo.
C'è un terzo metodo che alcune delle app utilizzate per l'esecuzione del payload. Si tratta di un metodo complicato che prevede un passaggio aggiuntivo prima di recuperare il carico utile dal server C&C.
I ricercatori hanno anche notato che, nonostante diverse variazioni, il carico utile del Joker è rimasto lo stesso in tutto e ha svolto funzioni simili.
spero che questo articolo vi sia piaciuto noi ci vediamo ad un prossimo articolo.
