Malware Joker colpisce 10 app vulnerabili. Credits: Screen Rant
Vi ricordate di Joker? No, non il nemico di Batman, ma il malware che l’anno scorso, poco dopo l’uscita dell’omonimo film campione di incassi, aveva colpito 24 app del Play Store. Proprio in questi giorni è stata scoperta una nuova versione del malware, trovata in 10 app che rendono vulnerabili i dispositivi Huawei, Samsung e Xiaomi.
Anche se ha fatto notizia solo nel 2019, Joker è un malware apparso nel Play Store 3 anni fa. Costantemente monitorato da esperti di sicurezza, ha portato alla rimozione di 24 app dallo store nel settembre dello scorso anno, dopo aver infettato migliaia di dispositivi Android.
Il malware è classificato come trojan: è infatti in grado di “nascondersi” all’interno di un’altra applicazione che, una volta eseguita, permette l’esecuzione di Joker. Nel dettaglio, la prima volta che l’app viene caricata, il malware ottiene dal server dell’attaccante un URL da cui scarica il file .dex, ovvero il core del programma.
Successivamente si attiva il core, che periodicamente richiede dei comandi al server e li esegue. Queste istruzioni hanno come obiettivo la sottoscrizione a delle offerte a pagamento, consumando il credito senza che l’utente se ne accorga. Ottenendo il permesso di accedere agli SMS, il malware inserisce il codice di conferma sottoscrizione nella pagina di attivazione del servizio. Con lo stesso permesso, poi, cancella immediatamente il messaggio, così che l’utente non riceva la notifica.
Gli utenti hanno segnalato che nelle app interessate dal malware i termini e condizioni erano molto superficiali e insufficienti. I numeri forniti per annullare gli abbonamenti non erano reali, così come i pulsanti: oltre a non annullare la tariffa aggiungevano un altro servizio premium, sempre a pagamento.
La nuova versione del malware è stata in grado di eludere la sicurezza del Play Store, agendo indisturbata su 10 diverse app. Nel “nuovo Joker” il payload è nascosto nel file manifest delle applicazioni infette, eliminando la necessità di doverlo scaricare da un server. Il file .dex, core del malware, è codificato in stringhe Base64, pronte ad essere lette, decodificate ed eseguite.
Google ha già eliminato le app vulnerabili dal Play Store e sta lavorando per incrementare la sicurezza e individuare prontamente altri malware di questo tipo. Di seguito le 10 app colpite:
Anche se non sono più presenti sullo store, queste applicazioni sono ancora scaricabili dal web in .apk. In generale il consiglio è sempre quello di scaricare applicazioni conosciute e con molte recensioni. Per quanto la sicurezza dello store migliori costantemente e le app siano sempre monitorate questo tipo di malware è difficile da individuare, soprattutto essendo così mutevole. Nella maggior parte dei casi, come per Joker, il malware viene individuato soltanto una volta che ha colpito i dispositivi.
Le app vulnerabili al malware Joker potrebbero aumentare anche in poco tempo: è quindi indispensabile mantenere il device e le app sempre aggiornati, controllare che i termini e le condizioni siano esaustivi e diffidare degli apk trovati nel web.