«Joker», el malware que lo registra para servicios costosos, está inundando los mercados de Android


Septiembre fue un mes ajetreado para las aplicaciones maliciosas de Android, con docenas de una sola familia de malware que inundó Google Play o los mercados de terceros, dijeron investigadores de la compañía de seguridad.

Conocida como el Joker, esta familia de aplicaciones maliciosas ha atacado a los usuarios de Android desde finales de 2016 y recientemente se ha convertido en una de las amenazas más comunes para Android. Una vez instaladas, las aplicaciones de Joker suscriben en secreto a los usuarios a costosos servicios de suscripción y también pueden robar mensajes SMS, listas de contactos e información del dispositivo. En julio pasado, los investigadores dijeron que encontraron a Joker en once aplicaciones aparentemente legítimas que se habían descargado de Play unas 500.000 veces.

A fines de la semana pasada, los investigadores de la firma de seguridad Zscaler dijeron que habían encontrado un nuevo lote que contenía 17 aplicaciones infectadas con Joker con 120,000 descargas. Las aplicaciones se cargaron gradualmente en Play a lo largo de septiembre. La firma de seguridad Zimperium informó el lunes que los investigadores de la compañía encontraron 64 nuevas variantes de comodines en septiembre, la mayoría de las cuales fueron sembradas en tiendas de aplicaciones de terceros.

Y como descubrió ZDNet, los investigadores de las empresas de seguridad Pradeo y Anquanke encontraron más brotes de comodines este mes y en julio. Anquanke dijo que ha encontrado más de 13.000 muestras desde que salió a la luz por primera vez en diciembre de 2016.

«Joker es una de las familias de malware más conocidas que ataca continuamente a los dispositivos Android», escribió el investigador de Zscaler Viral Gandhi en la publicación de la semana pasada. «A pesar de la conciencia de este malware en particular, se está abriendo camino en el mercado oficial de aplicaciones de Google al realizar cambios en el código, los métodos de ejecución o las técnicas para recuperar cargas útiles».

Instinto digital

Una de las claves del éxito de Joker es la naturaleza del desvío. Las aplicaciones son imitadores de aplicaciones legítimas y no contienen ningún código malicioso que no sea un «cuentagotas» cuando se descargan de Play o de cualquier otro mercado. Después de un retraso de horas o incluso días, el cuentagotas, que está muy ofuscado y tiene pocas líneas de código, descarga un componente malicioso y lo coloca en la aplicación.

Zimperium proporcionó un diagrama de flujo que captura los cuatro puntos de pivote que utiliza cada ejemplo de comodín. El malware también utiliza técnicas evasivas para disfrazar los componentes de descarga como aplicaciones inofensivas, como juegos, fondos de pantalla, mensajeros, traductores y editores de fotografías.

Zimperium

Las técnicas de evasión incluyen cadenas codificadas en los ejemplos en los que se solicita a una aplicación que descargue un Dex. Este es un archivo nativo de Android que contiene el paquete APK, posiblemente junto con otros Dexes. Los Dex se disfrazan como archivos mp3 .css o .json. Para ocultarse más, Joker utiliza la inyección de código para ocultarse entre paquetes legítimos de terceros, como: B. org.junit.internal, com.google.android.gms.dynamite o com.unity3d.player.UnityProvider que ya están instalados en el teléfono

«Se supone que esto hará que sea más difícil para el analista de malware detectar el código malicioso, ya que las bibliotecas de terceros suelen tener un gran tamaño de código y la presencia de ofuscación adicional puede dificultar aún más la identificación de las clases inyectadas». El investigador de Zimperium Aazim Yaswant escribió. “Además, usar nombres de paquetes legítimos es ingenuo [blocklisting] Lo intenta, pero nuestro motor de aprendizaje automático z9 permitió a los investigadores detectar con confianza los trucos de inyección anteriores. «

La descripción de Zscaler describe tres tipos de técnicas posteriores a la descarga que se pueden utilizar para evitar el proceso de revisión de aplicaciones de Google: descargas directas, descargas de un paso y descargas de dos pasos. A pesar de las variaciones en la entrega, la carga útil final fue la misma. Una vez que una aplicación ha descargado y activado la carga útil final, la aplicación de imitación puede usar la aplicación de SMS del usuario para registrarse en suscripciones premium.

Un portavoz de Google se negó a comentar, aparte de señalar que Zscaler informó que la compañía eliminó las aplicaciones tan pronto como se informaron de forma privada.

día tras día

Con aplicaciones maliciosas que se infiltran en Play de forma regular, a menudo semanalmente, actualmente hay poca evidencia de que el flagelo de las aplicaciones maliciosas de Android esté disminuyendo. Dicho esto, depende de los usuarios finales individuales mantenerse alejados de aplicaciones como Joker. El mejor consejo es ser extremadamente conservador con las aplicaciones que se instalan primero. Un buen principio rector es elegir aplicaciones que tengan un propósito real y, si es posible, elegir desarrolladores que sean entidades conocidas. Las aplicaciones instaladas que no se hayan utilizado en el último mes deben eliminarse a menos que haya una buena razón para conservarlas.

El uso de una aplicación AV de Malwarebytes, Eset, F-Secure u otro fabricante de renombre también es una opción, aunque estos también pueden tener dificultades para detectar Joker u otro malware.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *