Nonostante l’attenta guardia di Google, il malware Joker continua a imperversare sui dispositivi Android, nelle scorse ore fustigati da un suo nuovo attacco hacker, portato avanti attraverso alcune app manipolate, a guisa di untori digitali.
Dalla security house indiana Quick Heal Technologies giunge l’alert circa un nuovo avvistamento dello spyware Joker che, già presente in circa 1.700 app rimosse nel Gennaio 2020 ed in circolazione da almeno un paio d’anni, continua a furoreggiare tra le app ospitate dal Play Store di Android, come nel caso delle appena rimosse “Free Translator” ed “Easy QR Scanner“, scaricata ciascuna 10mila volte.
Secondo i ricercatori indiani, le due app in questione, accomunate da un comportamento molto simile, per superare i controlli di Google, oltre ad offuscare alcune righe di codice, scaricavano (tramite Tencent Packer) il payload dannoso in 3 fasi, con solo l’ultima delle quali inclusiva del vero e proprio malware. Una volta installato quest’ultimo, il criminale procedeva ad acquisire (mediante istruzione getSimOperator) il codice operatore Sim e, in seguito, indirizzava la navigazione su determinati siti, per iscrivere l’utente a servizi a valore aggiunto.
A questo punto veniva generato un codice di autorizzazione usa e getta (OTP), che però veniva letto e validato, ottenuto l’accesso alle notifiche, tramite il meccanismo onReceive applicato sulla componente BroadcastReceiver, abitualmente dedicata a registrare eventi delle app o di sistema. Il risultato, com’è facile intuire, consisteva nell’aderire, senza accorgersene, a servizi a pagamento, con conseguente danno economico per l’utente mobile hackerato.
Dal reverse engineer Re-ind (@ReBensk), autore della scoperta anche del malware che si diffonde tramite i contatti di WhatsApp sfruttando una finta app Huawei Mobile e un falso Play Store, arriva la segnalazione, invece, della presenza del malware Joker anche nell’app Qr Scan dello sviluppatore Creissant Querry (oltre 10.000 download, ancora presente), in Modes Scanner del programmatore Tracy Parisian (rimossa, aggiornata lo scorso 27 Gennaio), e in Love Emojis Stickers (oltre 50mila download, ancora presente) del programmatore Rachelle Hammes.
Per cautelarsi contro attacchi simili a quello condotto dal malware Joker con le app menzionate, gli esperti consigliano non solo di preferire il download dal Play Store, ma anche di analizzare il sito di riferimento del programmatore, la descrizione dell’app (alla ricerca di errori), le recensioni (con focus su quelle critiche e le valutazioni basse), scartando i download proposti su social e mail e, anzi, blindando il telefono sia disattivando l’installazione da fonti sconosciute, che avvalendosi di un buon antivirus locale.