Il malware Joker continua a eludere le protezioni del Google Play Store

A febbraio 2020 i ricercatori di Check Point avevano fatto il punto sullo store online di Google evidenziando come ancora non fosse sufficientemente protetto rispetto a varie tipologie di minacce, aggiunte ancora oggi in diverse tipologie di applicazioni: Google Play Store: ancora è tutt’altro che sicuro secondo Check Point.

Oggi da Check Point si fa presente che un malware già conosciuto in passato, battezzato “Joker“, è tornato a nascondersi in alcune app pubblicate sul Play Store.

Scoperto per la prima volta nel 2017, Joker integra le caratteristiche di uno spyware e di un dialer: si tratta infatti di una minaccia in grado di accedere al contenuto delle notifiche sui dispositivi mobili Android, leggere e inviare SMS in modo autonomo. Abilità che i criminali informatici sfruttano per attivare abbonamenti a servizi premium all’insaputa delle vittime.

Google stessa ha descritto la campagna posta in essere dal malware Joker come una delle minacce più persistenti che abbia dovuto affrontare nel corso degli ultimi anni. I tecnici dell’azienda di Mountain View hanno commentato che Joker “utilizza praticamente ogni tecnica di cloaking nota per nascondersi nel tentativo di passare inosservato“.

Check Point spiega che una nuova variante di Joker si è recentemente fatta largo, con successo, all’interno del Play Store infettando i dispositivi degli utenti che hanno installato app Android malevole.
Il payload della nuova variante di Joker è stato nascosto come file “dex” sotto forma di stringhe codificate in Base64 all’interno dei file AndroidManifest di app apparentemente benigne.

Il file AndroidManifest fornisce al sistema Android informazioni essenziali sull’identità di un’applicazione come nome, icona e permessi. Il sistema deve ricevere questi dati prima di eseguire qualsiasi codice.

L’efficace espediente ha permesso a Joker di eludere qualunque rilevamento durante l’analisi del file inviato ai server di Google superando anche la necessità di connettersi con un server command-and-control gestito dagli aggressori.

“Le nostre ultime scoperte indicano che le protezioni del Google Play Store non sono ancora sufficienti. Ogni settimana siamo stati in grado di rilevare numerosi casi di upload di Joker sul Play Store e tutte le app sono state scaricate da ignari utenti“, ha osservato Aviran Hazum, autore della ricerca.

Ecco perché nel nostro articolo Antivirus Android: no, non è affatto inutile abbiamo spiegato come in alcuni casi l’installazione di una valida soluzione antimalware sui dispositivi Android sia tutt’altro che inutile.

Nel frattempo Google ha provveduto a rimuovere dal Play Store tutte le app contenenti Joker: nel complesso erano 11 e i loro nomi sono riportati in questa pagina immediatamente dopo il paragrafo Conclusion.