Google elimina 11 apps con el malware Joker que burlaron la seguridad de Play Store – Masterhacks Blog

Google elimina 11 apps con el malware Joker que burlaron la seguridad de Play Store

Investigadores de seguridad cibernética descubrieron una instancia de malware para Android oculto como aplicaciones legítimas para suscribir de forma sigilosa a los usuarios a servicios premium sin su conocimiento.

Check Point publicó un informe sobre el malware, denominado Joker o Pan, que utiliza otra forma para evitar las protecciones de Google Play Store, mediante la ofuscación del ejecutable DEX malicioso dentro de la aplicación como cadenas codificadas Base64, que luego se decodifican y se cargan el dispositivo.

Luego de la divulgación responsable por parte de los investigadores, Google eliminó las 11 aplicaciones de Play Store el pasado 30 de abril de 2020.

«El malware Joker es difícil de detectar, a pesar de la inversión de Google en agregar protecciones de Play Store. Aunque Google eliminó las aplicaciones maliciosas de Play Store, podemos esperar que Joker se adapte nuevamente», dijo Aviran Hazum, investigador de Check Point.

Descubierto por primera vez en 2017, Joker es uno de los tipos más frecuentes de malware de Android, conocido por realizar fraudes de facturación y por sus capacidades de software espía, incluyendo el robo de mensajes SMS, listas de contactos e información del dispositivo.

El año pasado fueron registradas más campañas relacionadas con Joker, con una serie de aplicaciones de Android infectadas descubiertas por CSIS Security Group, Trend Micro, Dr. Web y Kaspersky.

Para ocultar su verdadera naturaleza, los autores del malware recurrieron a una variedad de métodos, como el cifrado para ocultar cadenas de motores de análisis, revisiones falsas para atraer a los usuarios a descargar aplicaciones y una técnica denominada versionado, que se refiere a subir una versión limpia de la aplicación a Play Store para generar confianza entre los usuarios y luego agregar de forma sigilosa el código malicioso en una etapa posterior a través de actualizaciones de la aplicación.

«A medida que Play Store ha introducido nuevas políticas y Google Play Protect amplió las defensas, las aplicaciones Bread se vieron obligadas a iterar de forma continua para buscar vacíos. En algún momento han utilizado casi todas las técnicas de ocultación y ofuscación bajo el sol en un intento de no ser detectadas», dijo el Equipo de Seguridad y Privacidad de Android.

A partir de enero de 2020, Google ha eliminado más de 1700 aplicaciones infectadas con malware enviadas a Play Store en los últimos tres años.

La nueva variante detectada por Check Point tiene el mismo objetivo, pero lo logra al aprovechar el archivo de manifiesto de la aplicación, que utiliza para cargar un archivo DEX codificado en Base64.

Una segunda versión «intermedia» identificada por Check Point, emplea una táctica parecida de ocultar el archivo .dex como cadenas Base64, pero las agrega como una clase interna en la aplicación principal y la carga a través de APIs de reflexión.

«Para lograr la capacidad de suscribir a los usuarios a servicios premium sin su conocimiento o consentimiento, Joker utilizó dos componentes principales: el oyente de notificaciones como parte de la aplicación original y un archivo dex dinámico cargado desde el servidor de C&C para realizar el registro», dijo Hazum.

Además, la variante está equipada con una nueva característica que permite al actor de amenazas emitir remotamente un código de estado «falso» de un servidor de C&C bajo su control para suspender la actividad maliciosa.

El último esquema de Joker representa una amenaza menos crítica que un recordatorio de cómo el malware de Android evoluciona continuamente y debe protegerse de la misma forma.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *