App maliciosa de Android que se hace pasar por un escáner QR para lanzar el malware Joker que roba datos de SMS

Investigadores descubrieron una nueva campaña del malware para Android “Joker”, el cual suplanta un escáner QR para apuntar a usuarios de Android. El malware Joker tiene funcionalidades tanto de spyware como de troyano. El malware se encontró inicialmente en Google Play Store, donde su atacante oculta una aplicación legítima que se hizo pasar por Free […]

Investigadores descubrieron una nueva campaña del malware para Android “Joker”, el cual suplanta un escáner QR para apuntar a usuarios de Android.

El malware Joker tiene funcionalidades tanto de spyware como de troyano.

El malware se encontró inicialmente en Google Play Store, donde su atacante oculta una aplicación legítima que se hizo pasar por Free QR Scanner cargada con el nombre de desarrollador “Marcelo Bruce”.

Proceso de infección de malware de Joker

Los autores de malware Joker siguen modificando la aplicación para evadir la detección de protección de juego y esos cambios, incluidos los métodos de ejecución, y el uso de diferentes técnicas de recuperación de carga útil.

Los atacantes adaptan la técnica de evasión tradicional de carga de código dinámico (DCL) y reflexión que ayuda a los atacantes a colocar el archivo malicioso en el dispositivo de la víctima.

Una vez que la víctima instala y ejecuta el archivo, la aplicación maliciosa establece una conexión con el servidor de comando y control, y suelta un troyano.

Según el informe de Cyble, “El malware inicia un comportamiento malicioso de la subclase de la aplicación, qr.barcode.scanner.ScannerApp. Esta clase se ejecuta primero cuando el usuario inicia la aplicación “.

Durante el proceso de infección, los investigadores observaron que los atacantes usaban una clase llamada “Ferry” que tiene la capacidad de leer las notificaciones recibidas por el dispositivo de la víctima, incluidos los mensajes de texto, y cancelarlas sin el conocimiento del usuario.

“La aplicación tiene varias URL de suscripción de Protocolo de aplicación inalámbrica (WAP) para su servicio de facturación. La facturación WAP es un método de pago para comprar contenido de sitios, y los cargos se agregan directamente a la factura del teléfono móvil”.

Estas suscripciones desconocidas cobran a las víctimas de forma diaria, semanal o mensual, lo que permite a los atacantes obtener beneficios monetarios.

El malware Joker eventualmente roba mensajes de texto, información del dispositivo, detalles de contacto que también pueden robar dinero Robado de la cuenta bancaria del usuario sin el conocimiento de la víctima.