I'm the creeper

Joker, il nuovo malware Android

Sembra che la “febbre da Joker” abbia colpito non solo i cinefili: anche qualche hacker si è divertito a cavalcare l’onda e a distribuire un malware chiamato Joker.

Ad essere colpite sono state 24 app del Google Play store, che hanno registrato circa 427mila installazioni. In grado di accedere agli SMS, alla lista contatti e di interagire coi siti web, il malware non va sottovalutato: ha già infettato un milione e mezzo di dispositivi.

Joker: come funziona?

Il malware, classificato come trojan, è composto da due componenti: un loader e il core vero e proprio. Il primo viene scaricato al momento del download di un’app e caricato durante lo splash screen dell’applicazione. In particolare, durante questa fase, il malware otteneva, tramite comunicazione C&C (command and control) con un server, l’URL per scaricare il file DEX in cui risiede il core del programma.

Un file .dex è un eseguibile che contiene codice compilato per Android, e viene chiamato “Dalvik Executable”. Più file .dex vengono compressi per generare un .apk, che come sappiamo viene utilizzato come package finale d’installazione di un’ app Android.

Esempi di comandi inviati a Joker dal server. Credits: csis-techblog.com

Una volta ottenuto il core, questo componente si attiva e richiede periodicamente al server dei nuovi comandi. Una volta ottenuti, li esegue seguendo l’ordine con cui li ha ricevuti. Queste istruzioni hanno come obiettivo quello di far sottoscrivere l’utente a delle offerte a pagamento, senza che lui lo sappia. Quando Joker riceve i comandi procede aprendo l’URL dell’offerta, effettua un’injection di comandi JavaScript e attende l’SMS di conferma sottoscrizione per inserire il codice di conferma.

Oltre a questo, il malware è in grado di accedere ai numeri della rubrica e di inviarli al server in maniera criptata.

Il codice di Joker per ottenere i contatti della rubrica. Credits: csis-techblog

Joker attacca soltanto alcune nazioni, per lo più in Europa e in Asia. Il malware infatti ha accesso alle informazioni della SIM, e controlla se questa è appartenente ad uno dei paesi inclusi nella lista del malware (e l’Italia è tra questi). Del trojan finora sappiamo che l’UI del pannello di comunicazione col server e alcuni commenti nel codice sono in cinese, il che aiuterebbe a circoscrivere l’attribuzione geografica.

Le app attaccate

  • Advocate Wallpaper
  • Age Face
  • Altar Message
  • Antivirus Security – Security Scan
  • Beach Camera
  • Board picture editing
  • Certain Wallpaper
  • Climate SMS
  • Collate Face Scanner
  • Cute Camera
  • Dazzle Wallpaper
  • Declare Message
  • Display Camera
  • Great VPN
  • Humour Camera
  • Ignite Clean
  • Leaf Face Scanner
  • Mini Camera
  • Print Plant scan
  • Rapid Face Scanner
  • Reward Clean
  • Ruddy SMS
  • Soby Camera
  • Spark Wallpaper

Questa la lista delle 24 app attaccate. Esse sono state già rimosse dallo store, ma se le avete installate dovete procedere subito a disinstallarle. Importante è anche controllare l’attività del conto legato alla carta di credito, per individuare movimenti strani.

Joker arriva pochissimo tempo dopo un altro malware Android trovato nell’app CamScanner. Individuato a fine Agosto, il programma scaricava ed eseguiva codice malevolo in background. In questo caso il malware faceva comparire banner pubblicitari in modo intrusivo sullo smartphone, e in alcuni casi riusciva a sottoscriversi a servizi a pagamento.

Il logo di CamScanner, l’applicazione per scanning e lettura dei PDF. Credits: play.google.com

Come al solito raccomandiamo di non installare applicazioni sospette, soprattutto quelle che richiedono accesso a parti dello smartphone a cui non servirebbe accedere.

Published by
Marina Londei