Cosa sapere sul malware Joker su Android, il virus che svuota i conti bancari

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Il malware Joker su Android continua a far parlare di sé: noto per le sue capacità di adattamento alle tecnologie antivirus, è stato individuato all’interno di una decina di applicazioni sul Play Store, alcune delle quali già rimosse – altre, invece, ancora stabilmente presenti nello store di app di Google. Le sue strategie di infiltrazione sono estremamente avanzate e le conseguenze di un’infezione possono essere disastrose per la potenziale vittima, che viene iscritta a servizi a pagamento di cui se ne accorge solo quando ormai è troppo tardi.

Siete pronti per scoprire cosa fa il malware Joker su Android, e come fare per evitarlo?

Che cos'è Joker

Il malware Joker è uno dei più noti e persistenti virus Android. Le sue attività sono note sin dal 2017, anno in cui Google rimosse ben 1.700 applicazioni collegate al suo codice di sviluppo dal Play Store. Sin da allora si è svolta una guerra sotterranea tra gli sviluppatori del malware Joker e le tecnologie antivirus di Google che, coadiuvate dalle ricerche svolte dai laboratori di sicurezza, hanno periodicamente rimosso decine di app infettate da nuovi moduli del malware

Nonostante questo particolare malware sia pubblicamente conosciuto, continua a farsi strada nel mercato delle applicazioni ufficiali di Google utilizzando modifiche nel codice di sviluppo, nei metodi di esecuzione o nelle tecniche di recupero del payload.

Il malware normalmente si maschera da applicazione utilities, per trarre in inganno l’utente e convincerlo a effettuare il download – ignaro che la protezione del Play Store, normalmente offerta da Google Play Protect, è inefficace. Secondo le analisi svolte dal laboratorio ThreatLabs di Zscaler, che ha monitorato le attività del malware Joker per tre mesi, le categorie più interessate dal malware sono: Strumenti (41%), Comunicazione (28%), Personalizzazione (22%), Fotografia (7%) e Salute & Fitness (2%); quest’ultima categoria è una novità rispetto alle abitudini di Joker. In totale sono stati rilevati 50 malware Joker all’interno di altrettante applicazioni, e solamente nel periodo di ricerca considerato.

Come Joker attacca gli smartphone degli utenti

Le strategie di infezione del malware Joker su Android sono varie, in quanto deve costantemente cambiare forma e formula d’attacco per riuscire a evitare le analisi delle tecnologie antivirus del Play Store. Come molti altri trojan Android, anche il malware Joker utilizza la strategia dell’inflitrazione silenziosa che consiste nel rilascio di una serie di applicazioni innocue e “pulite”, che contengono però al loro interno i germogli dell’infezione.

Innanzitutto, il malware chiede all’utente l’accesso alla lettura delle notifiche del dispositivo. Nel momento in cui questo permesso viene concesso, Joker provvede a nascondere ogni notifica relativa ai download che effettuerà da server remoti per completare l’installazione del malware. La nuova formula di attacco del malware Joker in questo caso coinvolge l’utilizzo di servizi di accorciamento URL, come bit.ly e rebrand.ly. Grazie a questi servizi, il virus nasconde agli occhi di Google Play i siti web infetti dai quali scaricherà i due moduli che compongono il malware, e che verranno installati nel device. Esiste anche un terzo modulo che sarà scaricato solamente se lo smartphone-ospite possiede una SIM dell’operatore Thailand Mobile.

Curiosamente, questa nuova versione di Joker introduce alcune novità rispetto al passato: innanzitutto, il malware agisce in concerto con altre applicazioni. Il codice di sviluppo prevede infatti che, nel caso in cui vengano identificate tra le app installate quattro applicazioni in particolare – che sono: Large Emoji Sender, My City Wallpapers, Love Nature Wallpapers e Open World Wallpapers – la fase di installazione dei moduli venga interrotta. I ricercatori ritengono che queste app siano infette e/o collegate in qualche modo agli sviluppatori del malware Joker, ma non sono stati in grado di condurre ulteriori indagini; due app delle quattro fortunatamente sono già state eliminate dal Play Store.

Le icone delle app infette dal malware Joker che Google ha eliminato dal Play Store in seguito alla segnalazione

Cosa fa di preciso il malware Joker, una volta che è stato installato sul device della vittima? Innanzitutto procede con l’iscrivere l’utente a quanti più servizi a pagamento possibile, naturalmente intestati agli autori del malware; l’utente non è in grado di notarlo – se non quando è troppo tardi – poiché il malware è in grado di nascondere gli SMS di iscrizione che vengono recapitati al dispositivo. Secondariamente raccoglie quante più informazioni possibili, come i numeri di telefono contenuti nella rubrica, che verranno poi utilizzati dagli sviluppatori per condurre frodi finanziarie o per altre finalità illegali.

I ricercatori hanno notato che il malware Joker ora si collega anche a un server di Comando&Controllo, che normalmente gli consentirebbe di eseguire azioni ulteriori rispetto alla sua programmazione – sì, è una cosa negativa e rende il malware ancora più pericoloso. Fortunatamente, nel periodo di osservazione il server non è mai stato attivo.

Come difendersi dal malware Joker

Il malware Joker su Android è stato rintracciato all’interno di 11 applicazioni, che sono già state eliminate dal Play Store. Le app in questione erano:

  • Free Affluent Message
  • PDF Photo Scanner
  • delux Keyboard
  • PDF Converter Scanner
  • Font Style Keyboard
  • Translate Free
  • Saying Message
  • Private Message
  • Read Scanner
  • Print Scanner

I ricercatori avvisano gli utenti di prestare attenzione nei confronti di queste app, che potrebbero essersi infiltrati facilmente all’interno di store di terze parti meno attrezzati del Play Store per affrontare minacce di queste proporzioni. Inoltre si suggerisce di non scaricare app il cui sviluppatore sia presente nella lista qui sotto, che secondo i ricercatori corrisponde a un dizionario di nomi pre-fabbricati dai creatori del malware Joker e che vengono periodicamente utilizzati durante la creazione di profili-sviluppatore di app infette.

Elenco dei nomi-sviluppatore usato dai creatori del malware Joker

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!

Commenti
//